龍谷大学理工学部におけるネットワーク運用(失敗)事例

Slides:



Advertisements
Similar presentations
ユーザ認証を考慮した 情報コンセントの活用 明治大学 情報システム管理課 服部裕之 ( ) ’ 99私情協 学内 LAN 運用管理講習会.
Advertisements

WINDOWS AZURE上での ACTIVE DIRECTORY構築入門 Windows Azure ハンズオン トレーニング.
ご提案書 『ホテル インターネットサービスソリューション』
目次 このドキュメントについて・・・前提条件……………………………………… 2
SAP 環境における Active Directory 導入のメリット
Global Ring Technologies
情報基礎A 情報科学研究科 徳山 豪.
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
第一回 プロキシサーバーを駆使したセキュリティシステムの構築
NORWAY ENGLAND AMERICA FRANCE
SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL
SOHOシステムの構築と運用 東北NTユーザ会新潟勉強会資料.
(株)アライブネット RS事業部 企画開発G 小田 誠
(株)アライブネット RS事業部 企画開発G 小田 誠
Ad / Press Release Plan (Draft)
join NASS ~つながりあうネットワーク監視システム~
Ibaraki Univ. Dept of Electrical & Electronic Eng.
社内システム進捗 前回までの決定事項 →システムは「Scala PlayFramework2」で作成
Windows Azure 仮想マシン 入門.
仮想化システムを用いて 複数のOSを動かす
CCP Express 3.1 初期設定ガイド(WAN/LAN)
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
Phenixサーバ クラックまとめ.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
会社名: 氏名: 日付:.
EPnetFaN 座学編 第12回 北海道大学大学院 理学研究科 地球惑星科学専攻 森川 靖大
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
概要 認証システム ネットワーク接続 メールシステム Webサービス(ホームページ) 実習室システム 印刷システム.
HTTPプロトコルとJSP (1) データベース論 第3回.
龍谷大学理工学部における ウイルス感染事例 part 2
GoNET 競合比較 POPCHAT 2015年04月 アイビーソリューション株式会社.
ファイアウォール 基礎教育 (2日目).
鯖管のすヽめ.
B4向け研究紹介 MTAにおけるspamメール判別方法
インターネット接続制御アプライアンス ~ 製品説明 ~ 2013年06月 アイビーソリューション株式会社 Ver
情報検索概説II(99秋) 第3回 1999/10/21 インターネットの仕組み(2).
Ibaraki Univ. Dept of Electrical & Electronic Eng.
いつでも! どこでも! 『働き方改革』 が解決します!! SMA100シリーズで安心・安全リモートアクセス
学校におけるネットワークの運用と技術 解説編.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
ネットワークアプリケーションと セキュリティ
龍谷大学理工学部におけるネットワーク運用(失敗)事例
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
Sanesecurityのこと 小島 肇 龍谷大学理工学部.
7. セキュリティネットワーク (ファイアウォール)
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
インターネットにおける真に プライベートなネットワークの構築
岡村耕二 トランスポート層 岡村耕二 情報ネットワーク.
Cisco Umbrella のご紹介 2018 年 1 月.
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
龍谷大学理工学部の中の人から見た、最近のウイルスについての考察
システム全体構成図 センター計算機室 附属学校 DMZ 東北大シナジー
岡村耕二 トランスポート層 岡村耕二 情報ネットワーク.
Cisco Configuration Professional Express 3.3 アップデート
A18 スパムサーバの調査 ~ボットを見抜けるか?~
ネットワーク技術II 第10.3課 サブネット化のメカニズム
サーバ・クライアントシステム ( X Window System) 2006/01/20 伊藤 和也 original: 前坂たけし
gate登録システム: 設計ポリシーから使い方まで
トラフィックプロファイラAGURIの設計と実装
SQL Server ベースの SAP システム における高可用性ソリューション
Step.8 ファイアウォール PC 3 PC 1 PC 2 許可したアクセス のみ通過させる アクセスする ファイアウォール
マルチホーム事例 ~AS番号をもつ組織のマルチホーム~
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
ユーザ認証の盗聴 2002/9/10 峯 肇史 牧之内研究室「インターネット実習」Webページ
VPNクライアント接続 サーバー保守のための安全な経路+作業者単位のアクセス制御 簡単な図 (網羅性より象徴性)
Presentation transcript:

龍谷大学理工学部におけるネットワーク運用(失敗)事例 小島 肇

きょうのおはなし 対外接続系の話 界面系の話 メール配送系の話 瀬田学舎教育系の話

組織の紹介 RINS; Ryukoku Information Network System 情報メディアセンター 理工学部ネットワークの運営母体 予算はあまりない 情報メディアセンター 全学的な運営母体 潤沢な予算

龍谷大学 瀬田学舎 風水的にはかなりまずいらしい

対外接続系の話

龍谷大学ネットワーク(2006.07) 深草 大宮 瀬田 生協インターネット(野村総研) 20Mbps ASTEM - NCA-5 メールサーバ 大宮 default route 深草 瀬田 100Mbps ASTEM:京都高度技術研究所 NCA-5:第5地区ネットワークコミュニティ (主催:京都大学)

2006.07 までの状況 瀬田 – ASTEM – NCA-5 のラインがたびたび障害で停止 生協側が生きていても対外接続は停止してしまう 京都大学が NCA-5 が手を引きたがっているという話 デジタル疎水(2003~)への移行 デジタル疎水:京都デジタル疏水ネットワーク。京都府主催の光基幹ネットワーク

BGP化の検討 もともとはさくらインターネットからの持ち込み企画 各学舎をより独立的に運用する案も検討されたが、結局採用されず 龍大 OB 各学舎をより独立的に運用する案も検討されたが、結局採用されず NEC 深草学舎での一極集中接続案が採用される single point of failure 理工学部はバックアップ回線の必要性を訴えるも、いまいち通じず

龍谷大学ネットワーク(2006.08) IIJ 100Mbps NTT – デジタル疎水 100Mbps 大宮 BGP AS37895 深草 メールサーバ IIJ 100Mbps NTT – デジタル疎水 100Mbps 大宮 BGP AS37895 深草 瀬田 100Mbps

変更後の不具合 特定の組織との間の通信に障害が発生 MTU を 1500 から 1470 に変更すると回避できる 京都大学、生協インターネット、大学コンソーシアム京都、りそな銀行、…… MTU を 1500 から 1470 に変更すると回避できる 新規導入機器(BGP ルータなど)が悪さを? MTU: Maximum Transmission Unit。Ethernet のデフォルト MTU は 1500 オクテット

実は…… こうなっていたのが原因らしい 連絡・依頼と確認の不徹底 こちらへ戻るはずが 京大・NCA-5 IIJ デジタル疎水 この回線が中途半端に生きていた 連絡・依頼と確認の不徹底 大宮 BGP AS37895 深草 瀬田 100Mbps

変更後の仕様 深草学舎が single point of failure 法定点検に伴う停電時にさっそく露呈 瀬田学舎からすると、サービスが degrade したように見える 法定点検に伴う停電時にさっそく露呈 「電源車により対応する」とされていたが、実際には機能せず バックアップ回線の必要性がようやく理解される

龍谷大学ネットワーク(近未来) IIJ 100Mbps NTT – デジタル疎水 100Mbps NTT – フレッツ 100Mbps 大宮 メールサーバ IIJ 100Mbps NTT – デジタル疎水 100Mbps NTT – フレッツ 100Mbps 大宮 NAT BGP AS37895 深草 瀬田 100Mbps

界面系の話

ファイアウォールポリシー ごく限られたポートのみ 外 内 原則禁止

ごく限られたポートのみ…… 実は 80/tcp が解放されている まずいじゃん! プリンタやルータの Web 管理インターフェイスなど、イントラのつもりのサーバが見え見え…… 理工学部で使用している IP アドレス領域については 80/tcp も塞ぐように依頼

外に出るには proxy 必須 用意しているもの 自動系のものは使わない http proxy socks5 proxy(理工学部のみ) rtsp proxy (理工学部のみ) 要塞ホスト(理工学部のみ) 自動系のものは使わない 透過型 proxy ではない CARP (Cache Array Routing Protocol)は使わない WPAD(Web Proxy Auto Discovery)は定義しない 弊害あり(後述)

外に出るには proxy 必須 proxy はべんり しかし…… 内部で変なものが流行っても外に出ていきにくい(といいな) まぬけなクライアントのために http proxy で connect コマンドを大幅に許可しなければならなかったり…… まじめに proxy を使うマルウェアには対処できないと思われ……

検出系 IDS/IPS の類はなし ログを読む 全学設備にもない つい最近のネットワーク導入に含めようとして失敗(予算不足 orz)。sFlow を利用したトラフィック監視を組み込むのでせいいっぱい。 ログを読む 全学ファイアウォールには興味深いログがたくさんありそうだけど私には読む権限がない 理工学部内の特定のサーバのログをしこしこ読んで JPCERT/CC に報告する日々

ログを読む話 SSH や FTP への辞書攻撃がひどくてログが読み切れない 一定以上のエラーが発生した場合にはアクセスを一時的に拒否するツールを使うようにした http://www.st.ryukoku.ac.jp/~kjm/security/sshbook/hosoku.html#20061129 手元のサーバでは iptables も pf も使えないので、/etc/hosts.allow を操作するように変更した apache のエラーログをまじめに読んでみたら attack がいろいろあるみたい それっぽいものは syslog に吐き、再集計して JPCERT/CC にタレコミ

それっぽいものは syslog に吐き …… <IfModule mod_setenvif.c> SetEnvIf Request_URI "/convert-date\.php" worm SetEnvIf Request_URI "/crontab/" worm SetEnvIf Request_URI "/index.inc.php" worm SetEnvIf Request_URI "/modules/" worm SetEnvIf Request_URI "/phpmailer/" worm SetEnvIf Request_URI "/phpmyadmin/" worm SetEnvIf Request_URI "/pop3/core\.php" worm SetEnvIf Request_URI "/replace/plugin\.php" worm SetEnvIf Request_URI "/routines/" worm SetEnvIf Request_URI "/skin/" worm SetEnvIf Request_URI "/xmlrpc\.php" worm SetEnvIf Request_URI "/ws/get_events\.php" worm SetEnvIf Request_Method "SEARCH" worm </IfModule> …… <VirtualHost 133.83.35.54:80> CustomLog "|/usr/bin/logger -t apache:133.83.35.54 -i -p security.info" combined env=worm </VirtualHost>

課題 socks があればかなりのことができる コネクション flood 系の攻撃に弱い Web を利用するマルウェアの増加 Winny できます(笑) socks = ssh の動的ポートフォワーディング ログ…… コネクション flood 系の攻撃に弱い 意図しない「攻撃」が多い 自動系は使わない点と諸刃 Web を利用するマルウェアの増加 ICAP(Internet Content Adaptation Protocol)を利用したコンテンツフィルタとか お金ない人も squid + c-icap + ClamAV とか

メール配送系の話

理工学部のメールまわり MTA: postfix 2.x サーバ台数:3 Rgrey(S25R + greylisting)を使った spam 対策(2005~) http://k2net.hakuba.jp/rgrey/ S25R:Selective SMTP Rejection spam 数が 1/6 程度に減少(当社比) ウイルスメール数が 1/10 程度に減少(当社比) amavisd-new を使ってウイルスチェック Sophos AntiVirus (Sophie – SAV Interface を利用する daemon) http://www.clanfield.info/sophie/ Sophie を使わないとパフォーマンス悪すぎ(後述) ClamAV daemon 版標準添付

失敗事例 大量のメールによるメール配送遅延 素の greylisting を使うと痛い目にあう Sophos AntiVirus によるウイルスチェックが負荷に Sophie 化して対応 このパワポをつくる過程でメール周りをチェックしてみたら、Sophie がなぜか機能していなかった orz ClamAV 含め、アンチウイルス系の機能監視が必要 素の greylisting を使うと痛い目にあう SMTP を無視する(守らない)サイトからのメールが届かない Rgrey 化して対応(動的 IP アドレスっぽいところにだけ greylisting を適用)

失敗事例 ClamAV が phishing メールをうまく検出できないことがある amavisd-new はメールを分解してボディだけをアンチウイルスに食わせているっぽい→よって検出できない postfix 2.3 以降の milter 機能を併用して対応→clamav-milter を postfix で利用する

postfix と clamav-milter http://www.postfix.org/MILTER_README.html main.cf smtpd_milters = unix:/var/run/clamav/clmilter.sock milter_default_action = accept postfix から/var/run/clamav/clmilter.sock にアクセスできるように設定しておく chgrp postfix /var/run/clamav/clmilter.sock chmod g+rwx /var/run/clamav/clmilter.sock smtpd を chroot している場合は注意(master.cf) chroot しないようにするか、あるいは chroot 先からアクセスできるように設定する

失敗事例 メールの滞留状況がわかりづらい 誤検出すると再送できない(再送するとまた誤検出するので) MX が低位のサーバに fallback するようにした fallback_relay = fallbackmx.st.ryukoku.ac.jp queue を削除する場合も fallback 先だけで処理すればいいので楽 MX が上位であるメールサーバの負荷低減にもなる 誤検出すると再送できない(再送するとまた誤検出するので) アンチウイルスを通さないホストを用意する 一時的に特定ホストの設定を変更する

こんな感じ 外 内 postfix 1 postfix 2 fallback_relay postfix 3 sendmail MX: 15 誤検出メールを手作業で移動 sendmail

課題 ウイルスを直接添付するメールの減少 コンテンツフィルタ系の spam 対策もの? Web ページ上に設置し、spam メールでそこへ誘導する形式が増加 ウイルス対策の意味での spam 対策の重要性 そろそろ taRgrey を試してみるべきか…… http://k2net.hakuba.jp/targrey/ Rgrey にタールピット機能(接続遅延)を追加 しかし 125 秒遅延って…… コンテンツフィルタ系の spam 対策もの?

瀬田学舎教育系の話

概要 2003 年検討、2004 年導入。 クライアント: 約 1200 台 ファイルサーバ 使用期間は 5 年 クライアント: 約 1200 台 Windows / Linux デュアルブート:約 750 台 Windows のみ:約 500 台 Mac: 約 70 台 ファイルサーバ EMC Celerra NS7000GS / CX700 (ユーザ領域1.2TB) その他、ドメインコントローラ、PC 管理システム、教室用ネットワークなど ActiveDirectory は全学統合認証(LDAPベース)と同期

統合認証 学生 学生 教員 職員 学生 教員 職員 全学認証AD 全学事務AD 端末 就職ポータル 管理者 EDS 証明書発行 システム 統合利用者管理Devias  就職ポータル 管理者 学生 アカウント管理 EDS LDAP認証 証明書発行 システム データ連携 LDAP認証 LDAP認証 Radius (CiscoACS) UNIX メールサーバ Active Directory Active Directory 全学認証AD 全学事務AD 学生 教員 職員 学生 教員 職員 端末

失敗事例 PC管理システムの仕様 失敗:パーティション単位での操作が明記されていない クライアント復旧インストールシステムの機能を可能とするもの Windows / Linux のクライアントバックアップ・リストアができること 教室単位・1 台単位でリストアできること OS を指定してのクライアントのリモート起動・停止ができること …… マスター・メディアからのイメージ配布・インストールが容易であること。自動化されていることが望ましい 失敗:パーティション単位での操作が明記されていない 導入されたもの(Altiris Deployment Server)は対応していなかった orz

失敗事例:Linux 採択業者が提案したのは Turbolinux 10 Desktop 仕様では 5 年サポートを明記 しかし Turbolinux FUJI 以降が続かない…… Turbolinux FUJI の通常メンテナンス終了日は 2008.11.24 なので、2009 年の夏まで使い続けるには足りない 協議継続中……

質問?