「ネットワークの管理」の版間の差分

提供: 東京大学理学系研究科wiki
移動先: 案内検索
 
(同じ利用者による、間の22版が非表示)
3行目: 3行目:
 
__TOC__
 
__TOC__
  
== 端末の管理 ==
+
== 概要 ==
 +
 
 +
理学系研究科では専攻施設ごとにネットワーク委員を中心としてネットワークの管理・利用者の管理を行う体制となっています。
 +
 
 +
* ネットワークの管理
 +
** IP アドレスの利用状況の管理
 +
** ネットワークに接続されている機器の管理
 +
** インシデントを起こした機器の特定
 +
 
 +
* 利用者の管理
 +
** アカウントの管理
 +
** インシデントを起こした利用者への対応
 +
 
 +
== 理学系研究科アカウントの管理 ==
 +
 
 +
理学系研究科で提供されるサービスは理学系研究科アカウントで認証を行います。
 +
アカウントの申請や配布のほかに、無線LANやVPNで利用者が接続するネットワークの設定を行う必要があります。
 +
 
 +
詳しくは以下のページを参照してください。
 +
* [[理学系研究科アカウントの管理]]
 +
 
 +
== ネットワークの管理 ==
 +
 
 +
理学系研究科では専攻施設ごとにサブネットが分かれており、各サブネットについてはそれぞれ専攻施設の管理者に管理していただいています。
 +
専攻施設によっては、専攻施設内に複数のサブネットがあり、それぞれのサブネットごとに管理者がいる場合もあるかと思います。
 +
 
 +
各サブネット内で NAT は設置せず、割り当てられたサブネットのグローバルIPを使用して端末などを接続してください。
 +
接続する端末が増加してIPが不足する場合には、新しいIPの割り当て申請を行いますのでご相談ください。
 +
 
 +
=== 各部屋の情報コンセントの設定について ===
 +
 
 +
各専攻施設のサブネットは VLAN によって設定されています。新たに部屋を利用する場合などはその部屋の情報コンセントの設定がされておりませんので、
 +
メールにてどのネットワークを利用するかご連絡ください。
 +
 
 +
部屋の工事だけ行って情報コンセントを増設してもネットワークに接続できるわけではありません。
 +
基幹機器側に空きがない場合もありますので、事前にご相談ください。
 +
また、今後の管理の問題もありますので、業者に配線工事を依頼する場合には実施した内容について図面を提出してもらうようにしてください。
 +
 
 +
=== ファイアウォールについて ===  
  
東京大学では学内のネットワークに接続する場合には申請を行うことが義務付けられています。
+
理学系研究科の各ネットワークのデフォルトの設定は、内部から外部は通信可能、外部から内部は通信不可能で、外部からの通信が必要な部分については申請いただいて設定するという形になっています。
 +
外部からの接続が必要となるサーバについては個別にIPアドレスおよび使用するポート番号をご連絡ください。
  
各専攻施設ごとにユーザに接続する機器の情報などを申請していただき、管理を行ってください。
+
ESPやUDPを利用する通信についてはそういった方向の区別がありませんので、内部から通信可能にすると外部からも通信可能になる都合上、内部から通信する場合についても個別に申請いただいて必要な部分のみ設定を行っています。
  
各端末について IP を固定で割り振ったり、または申請された端末以外の接続を拒否するなどの技術的な制限は必須としません。
+
'''特に外部に公開したウェブサーバについてはセキュリティ問題が増加しておりますので管理者を登録していただきセキュリティ情報の通知や管理状況の問い合わせなどを行わせていただいております。'''
  
* [https://www.nc.u-tokyo.ac.jp/riyou/utnet-unyou-kisoku-h16.html 東京大学情報ネットワークシステム運用規則]
+
=== DNS・DHCP について ===
  
NATの設置については管理上好ましくないので少なくとも個人レベルでの設置は禁止としてください。仮にNATを設置したとしても、そこに接続する機器を管理する必要があるというのは変わりません。端末の管理に加えて、NAT機器のログを一定期間保存することで、セキュリティ問題が発生したときに原因を究明できる環境を整えてください。
+
各専攻施設でDNSおよびDHCPサーバを運用することも可能ですが、効率化のために理学系のサーバで一括して運用することを推奨しています。
 +
(既に多くの専攻施設にはご協力いただいています。)
 +
設定の変更が必要な場合にはメールにてご依頼ください。
  
 +
=== P2P の対応について ===
  
== ウイルス対策 ==
+
利用しているソフトウェアがP2P技術を用いているかどうかで問題かどうかの判断がされることはなくなってきています。
 +
UTokyo-CERTにより不適切なソフトウェアの利用が検出されたと連絡があった場合には利用者に対して該当ソフトウェアの利用をやめるようにご指導ください。
  
東京大学ではネットワークに接続する全ての端末でウイルス対策が義務付けられています。
+
=== NATの対応について ===
  
大学としてウイルス対策を行う必要がある場合については、理学系研究科では一括してライセンス契約を行っておりますので[[ソフトウェアライセンス]]のページをご参照ください。
+
ネットワーク構成上の理由でどうしてもプライベートネットワークが必要な場合には別途ご相談ください。
 +
室内にNAT機器を設置するのではなく、理学系のネットワーク機器の方でNATを行い、情報コンセントの設定をNATされたプライベートネットワークのVLANに変更するという構成を推奨しています。
  
* [https://www.nc.u-tokyo.ac.jp/riyou/utnet-guideline.html 東京大学情報ネットワークシステム利用ガイドライン]
+
どうしても個別にNAT機器を設置する場合には次の点に注意してください。NAT を利用した場合には、トラブルが発生したときに外部からは端末の特定ができなくなりますので、NAT のログを保存していただく必要があります。昨今のセキュリティ対応ではログ保存の目安は1年となっています。また、NAT の下につながる端末についても、グローバル IP を使用する端末と同様に適切な管理が必要です。
  
 +
== 端末の管理 ==
  
== サーバの管理 ==
+
東京大学情報ネットワークシステム運用規則では学内のネットワークに接続する場合には申請を行い適切に管理を行うことが義務付けられています。
 +
実際に全ての端末について申請や承認の作業を行うのは非常に大変ですが、少なくともネットワークに何が接続されていて、
 +
問題が発生したときには誰のどの端末が問題を起こしているか把握できるためには何らかの管理を行う必要があります。
  
sshを外部に公開する場合は鍵認証でしかログインできない設定にしてください。
+
* [https://www.nc.u-tokyo.ac.jp/riyou/utnet-unyou-kisoku-h16.html 東京大学情報ネットワークシステム運用規則]
パスワードでログイン可能なsshサーバを適切に管理するには、サーバに存在する全てのアカウントが適切なパスワードを付けていることを確認する必要があります。
 
適切な状態を維持するのは大変で、一時的に作ったアカウントの消し忘れなどからsshで侵入される事例が発生しています。
 
鍵認証でしかログインできない設定ではこういった問題は発生しません。
 
  
=== ユーザの設定 ===
+
以下のページを参考に各専攻施設ごとに接続する機器を適切に管理してください。
  
* ssh-keygen コマンドを実行します。
+
* [[端末の管理]]
** 質問にエンターを入力します(ファイルの場所はデフォルト、パスフレーズなし)
 
* .ssh/id_rsa が秘密鍵、.ssh/id_rsa.pub が公開鍵です
 
* サーバの .ssh/authorized_keys に公開鍵を追加します
 
** サーバに id_rsa.pub をコピーしてから
 
cat id_rsa.pub >> .ssh/authorized_keys
 
* .ssh ディレクトリに g や o の書き込み権限がたってないことを確認します
 
  
=== サーバの設定 ===
+
NATの設置については管理上好ましくないので少なくとも個人レベルでの設置は禁止としてください。仮にNATを設置したとしても、そこに接続する機器を管理する必要があるというのは変わりません。端末の管理に加えて、NAT機器のログを一定期間保存することで、セキュリティ問題が発生したときに原因を究明できる環境を整えてください。
  
* /etc/ssh/sshd_config を編集してパスワード認証を禁止します
+
== サーバの管理 ==
PasswordAuthentication no
 
  
=== 運用に関する注意点 ===
+
セキュリティ問題を起こさないためにサーバの適切な管理を行う必要があります。
 +
特に外部からアクセスが可能なサーバは十分な注意が必要です。
  
パスワード認証によるログインを禁止した場合、新たに追加したユーザについては、
+
* [[サーバの管理]]
管理者がユーザの公開鍵をメールで送ってもらうなどして設定する必要があります。
 
  
 +
== 障害の対応 ==
 +
* [[困ったときは]]を参照してください。
  
 
[[Category:情報システムチーム]]
 
[[Category:情報システムチーム]]

2022年4月1日 (金) 11:07時点における最新版

情報システムチーム > ネットワークの管理

1 概要

理学系研究科では専攻施設ごとにネットワーク委員を中心としてネットワークの管理・利用者の管理を行う体制となっています。

  • ネットワークの管理
    • IP アドレスの利用状況の管理
    • ネットワークに接続されている機器の管理
    • インシデントを起こした機器の特定
  • 利用者の管理
    • アカウントの管理
    • インシデントを起こした利用者への対応

2 理学系研究科アカウントの管理

理学系研究科で提供されるサービスは理学系研究科アカウントで認証を行います。 アカウントの申請や配布のほかに、無線LANやVPNで利用者が接続するネットワークの設定を行う必要があります。

詳しくは以下のページを参照してください。

3 ネットワークの管理

理学系研究科では専攻施設ごとにサブネットが分かれており、各サブネットについてはそれぞれ専攻施設の管理者に管理していただいています。 専攻施設によっては、専攻施設内に複数のサブネットがあり、それぞれのサブネットごとに管理者がいる場合もあるかと思います。

各サブネット内で NAT は設置せず、割り当てられたサブネットのグローバルIPを使用して端末などを接続してください。 接続する端末が増加してIPが不足する場合には、新しいIPの割り当て申請を行いますのでご相談ください。

3.1 各部屋の情報コンセントの設定について

各専攻施設のサブネットは VLAN によって設定されています。新たに部屋を利用する場合などはその部屋の情報コンセントの設定がされておりませんので、 メールにてどのネットワークを利用するかご連絡ください。

部屋の工事だけ行って情報コンセントを増設してもネットワークに接続できるわけではありません。 基幹機器側に空きがない場合もありますので、事前にご相談ください。 また、今後の管理の問題もありますので、業者に配線工事を依頼する場合には実施した内容について図面を提出してもらうようにしてください。

3.2 ファイアウォールについて

理学系研究科の各ネットワークのデフォルトの設定は、内部から外部は通信可能、外部から内部は通信不可能で、外部からの通信が必要な部分については申請いただいて設定するという形になっています。 外部からの接続が必要となるサーバについては個別にIPアドレスおよび使用するポート番号をご連絡ください。

ESPやUDPを利用する通信についてはそういった方向の区別がありませんので、内部から通信可能にすると外部からも通信可能になる都合上、内部から通信する場合についても個別に申請いただいて必要な部分のみ設定を行っています。

特に外部に公開したウェブサーバについてはセキュリティ問題が増加しておりますので管理者を登録していただきセキュリティ情報の通知や管理状況の問い合わせなどを行わせていただいております。

3.3 DNS・DHCP について

各専攻施設でDNSおよびDHCPサーバを運用することも可能ですが、効率化のために理学系のサーバで一括して運用することを推奨しています。 (既に多くの専攻施設にはご協力いただいています。) 設定の変更が必要な場合にはメールにてご依頼ください。

3.4 P2P の対応について

利用しているソフトウェアがP2P技術を用いているかどうかで問題かどうかの判断がされることはなくなってきています。 UTokyo-CERTにより不適切なソフトウェアの利用が検出されたと連絡があった場合には利用者に対して該当ソフトウェアの利用をやめるようにご指導ください。

3.5 NATの対応について

ネットワーク構成上の理由でどうしてもプライベートネットワークが必要な場合には別途ご相談ください。 室内にNAT機器を設置するのではなく、理学系のネットワーク機器の方でNATを行い、情報コンセントの設定をNATされたプライベートネットワークのVLANに変更するという構成を推奨しています。

どうしても個別にNAT機器を設置する場合には次の点に注意してください。NAT を利用した場合には、トラブルが発生したときに外部からは端末の特定ができなくなりますので、NAT のログを保存していただく必要があります。昨今のセキュリティ対応ではログ保存の目安は1年となっています。また、NAT の下につながる端末についても、グローバル IP を使用する端末と同様に適切な管理が必要です。

4 端末の管理

東京大学情報ネットワークシステム運用規則では学内のネットワークに接続する場合には申請を行い適切に管理を行うことが義務付けられています。 実際に全ての端末について申請や承認の作業を行うのは非常に大変ですが、少なくともネットワークに何が接続されていて、 問題が発生したときには誰のどの端末が問題を起こしているか把握できるためには何らかの管理を行う必要があります。

以下のページを参考に各専攻施設ごとに接続する機器を適切に管理してください。

NATの設置については管理上好ましくないので少なくとも個人レベルでの設置は禁止としてください。仮にNATを設置したとしても、そこに接続する機器を管理する必要があるというのは変わりません。端末の管理に加えて、NAT機器のログを一定期間保存することで、セキュリティ問題が発生したときに原因を究明できる環境を整えてください。

5 サーバの管理

セキュリティ問題を起こさないためにサーバの適切な管理を行う必要があります。 特に外部からアクセスが可能なサーバは十分な注意が必要です。

6 障害の対応