龍谷大学理工学部におけるネットワーク運用(失敗)事例

Slides:



Advertisements
Similar presentations
ご提案書 『ホテル インターネットサービスソリューション』
Advertisements

目次 このドキュメントについて・・・前提条件……………………………………… 2
Global Ring Technologies
情報基礎A 情報科学研究科 徳山 豪.
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
北海道大学大学院 理学院宇宙理学専攻 EPNetFaN Mail サーバ管理課 徳永 義哉
Webプロキシサーバにおける 動的資源管理方式の提案と実装
第一回 プロキシサーバーを駆使したセキュリティシステムの構築
NORWAY ENGLAND AMERICA FRANCE
SOHOシステムの構築と運用 東北NTユーザ会新潟勉強会資料.
(株)アライブネット RS事業部 企画開発G 小田 誠
(株)アライブネット RS事業部 企画開発G 小田 誠
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
Ad / Press Release Plan (Draft)
join NASS ~つながりあうネットワーク監視システム~
仮想化システムを用いて 複数のOSを動かす
ネットワーク技術II 第8.2課 イーサネット・スイッチング
CCP Express 3.1 初期設定ガイド(WAN/LAN)
安全・安心なネット生活を送るためのネットワークセキュリティ
龍谷大学理工学部におけるネットワーク運用(失敗)事例
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
インターネット構成法 最終課題 ~ネットワークデザイン~.
解析サーバの現状と未来 2006/07/18 衛星データ処理勉強会 村上 弘志 現状のシステム構成など 統合解析環境としての整備
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
Phenixサーバ クラックまとめ.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
EPnetFaN 座学編 第12回 北海道大学大学院 理学研究科 地球惑星科学専攻 森川 靖大
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
概要 認証システム ネットワーク接続 メールシステム Webサービス(ホームページ) 実習室システム 印刷システム.
HTTPプロトコルとJSP (1) データベース論 第3回.
龍谷大学理工学部における ウイルス感染事例 part 2
ネストした仮想化を用いた VMの安全な帯域外リモート管理
GoNET 競合比較 POPCHAT 2015年04月 アイビーソリューション株式会社.
ファイアウォール 基礎教育 (2日目).
鯖管のすヽめ.
B4向け研究紹介 MTAにおけるspamメール判別方法
第2章 第1節 情報通信の仕組み 1 ネットワークの仕組み 2 通信プロトコル 3 認証と情報の保護
情報検索概説II(99秋) 第3回 1999/10/21 インターネットの仕組み(2).
いつでも! どこでも! 『働き方改革』 が解決します!! SMA100シリーズで安心・安全リモートアクセス
学校におけるネットワークの運用と技術 解説編.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
ネットワークアプリケーションと セキュリティ
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
Sanesecurityのこと 小島 肇 龍谷大学理工学部.
7. セキュリティネットワーク (ファイアウォール)
セキュリティ(6) 05A2013 大川内 斉.
分散IDSの実行環境の分離 による安全性の向上
インターネットにおける真に プライベートなネットワークの構築
岡村耕二 トランスポート層 岡村耕二 情報ネットワーク.
Cisco Umbrella のご紹介 2018 年 1 月.
龍谷大学理工学部の中の人から見た、最近のウイルスについての考察
Web - 01 IIS を インストールしよう.
メールの仕組みとマナー.
岡村耕二 トランスポート層 岡村耕二 情報ネットワーク.
Cisco Configuration Professional Express 3.3 アップデート
未使用メモリに着目した 複数ホストにまたがる 仮想マシンの高速化
GoNET-MIS のご紹介 2015年04月 アイビーソリューション株式会社 Ver 2.1.
A18 スパムサーバの調査 ~ボットを見抜けるか?~
ネットワーク技術II 第10.3課 サブネット化のメカニズム
サーバ・クライアントシステム ( X Window System) 2006/01/20 伊藤 和也 original: 前坂たけし
gate登録システム: 設計ポリシーから使い方まで
トラフィックプロファイラAGURIの設計と実装
Step.8 ファイアウォール PC 3 PC 1 PC 2 許可したアクセス のみ通過させる アクセスする ファイアウォール
マルチホーム事例 ~AS番号をもつ組織のマルチホーム~
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
アプリケーションゲートウェイ実験 2001.10.5 鬼塚 優.
ソケットの拡張によるJava用分散ミドルウエアの高信頼化
VPNクライアント接続 サーバー保守のための安全な経路+作業者単位のアクセス制御 簡単な図 (網羅性より象徴性)
Presentation transcript:

龍谷大学理工学部におけるネットワーク運用(失敗)事例 小島 肇

きょうのおはなし 対外接続系の話 界面系の話 メール配送系の話 瀬田学舎教育系の話

組織の紹介 RINS; Ryukoku Information Network System 情報メディアセンター 理工学部ネットワークの運営母体 予算はあまりない 情報メディアセンター 全学的な運営母体 潤沢な予算

龍谷大学 瀬田学舎

対外接続系の話

龍谷大学ネットワーク(2006.07) 生協インターネット(野村総研) 20Mbps ASTEM - NCA-5 100Mbps 大宮 メールサーバ 大宮 default route 深草 瀬田 100Mbps ASTEM:京都高度技術研究所 NCA-5:第5地区ネットワークコミュニティ (主催:京都大学)

2006.07 までの状況 瀬田 – ASTEM – NCA-5 のラインがたびたび障害で停止 生協側が生きていても対外接続は停止してしまう 京都大学が NCA-5 が手を引きたがっているという話 デジタル疎水(2003~)への移行 デジタル疎水:京都デジタル疏水ネットワーク。京都府主催の光基幹ネットワーク

BGP化の検討 もともとはさくらインターネットからの持ち込み企画 各学舎をより独立的に運用する案も検討されたが、結局採用されず 龍大 OB 各学舎をより独立的に運用する案も検討されたが、結局採用されず NEC 深草学舎での一極集中接続案が採用される single point of failure 理工学部はバックアップ回線の必要性を訴えるも、いまいち通じず

龍谷大学ネットワーク(2006.08) IIJ 100Mbps NTT – デジタル疎水 100Mbps 大宮 BGP AS37895 深草 メールサーバ IIJ 100Mbps NTT – デジタル疎水 100Mbps 大宮 BGP AS37895 深草 瀬田 100Mbps

変更後の不具合 特定の組織との間の通信に障害が発生 MTU を 1500 から 1470 に変更すると回避できる 京都大学、生協インターネット、大学コンソーシアム京都、りそな銀行、…… MTU を 1500 から 1470 に変更すると回避できる 新規導入機器(BGP ルータなど)が悪さを? MTU: Maximum Transmission Unit。Ethernet のデフォルト MTU は 1500 オクテット

実は…… こうなっていたのが原因らしい 連絡・依頼と確認の不徹底 こちらへ戻るはずが 京大・NCA-5 IIJ デジタル疎水 この回線が中途半端に生きていた 連絡・依頼と確認の不徹底 大宮 BGP AS37895 深草 瀬田 100Mbps

変更後の仕様 深草学舎が single point of failure 法定点検に伴う停電時にさっそく露呈 瀬田学舎からすると、サービスが degrade したように見える 法定点検に伴う停電時にさっそく露呈 「電源車により対応する」とされていたが、実際には機能せず バックアップ回線の必要性がようやく理解される

龍谷大学ネットワーク(近未来) IIJ 100Mbps NTT – デジタル疎水 100Mbps NTT – フレッツ 100Mbps 大宮 メールサーバ IIJ 100Mbps NTT – デジタル疎水 100Mbps NTT – フレッツ 100Mbps 大宮 NAT BGP AS37895 深草 瀬田 100Mbps

界面系の話

ファイアウォールポリシー ごく限られたポートのみ 外 内 原則禁止

ごく限られたポートのみ…… 実は 80/tcp が解放されている まずいじゃん! プリンタやルータの Web 管理インターフェイスなど、イントラのつもりのサーバが見え見え…… 理工学部で使用している IP アドレス領域については 80/tcp も塞ぐように依頼

外に出るには proxy 必須 用意しているもの 自動系のものは使わない proxy はべんり http proxy socks5 proxy(理工学部のみ) rtsp proxy (理工学部のみ) 自動系のものは使わない 透過型 proxy ではない CARP (Cache Array Routing Protocol)は使わない WPAD(Web Proxy Auto Discovery)は定義しない proxy はべんり 内部で変なものが流行っても外に出ていきにくい(といいな) やばそうなコンテンツについては proxy でアクセスを制限できる(かもしれない)

検出系 IDS/IPS の類はなし ログを読む 全学設備にもない つい最近のネットワーク導入に含めようとして失敗(予算不足 orz) 全学ファイアウォールには興味深いログがたくさんありそうだけど私には読む権限がない 理工学部内の特定のサーバのログをしこしこ読んで JPCERT/CC に報告する日々

ログを読む話 SSH や FTP への辞書攻撃がひどくてログが読み切れない 一定以上のエラーが発生した場合にはアクセスを一時的に拒否するツールを使うようにした http://www.st.ryukoku.ac.jp/~kjm/security/sshbook/hosoku.html#20061129 手元のサーバでは iptables も pf も使えないので、/etc/hosts.allow を操作するように変更した apache のエラーログをまじめに読んでみたら attack がいろいろあるみたい それっぽいものは syslog に吐き、再集計して JPCERT/CC にタレコミ

それっぽいものは syslog に吐き …… <IfModule mod_setenvif.c> SetEnvIf Request_URI "/convert-date\.php" worm SetEnvIf Request_URI "/crontab/" worm SetEnvIf Request_URI "/index.inc.php" worm SetEnvIf Request_URI "/modules/" worm SetEnvIf Request_URI "/phpmailer/" worm SetEnvIf Request_URI "/phpmyadmin/" worm SetEnvIf Request_URI "/pop3/core\.php" worm SetEnvIf Request_URI "/replace/plugin\.php" worm SetEnvIf Request_URI "/routines/" worm SetEnvIf Request_URI "/skin/" worm SetEnvIf Request_URI "/xmlrpc\.php" worm SetEnvIf Request_URI "/ws/get_events\.php" worm SetEnvIf Request_Method "SEARCH" worm </IfModule> …… <VirtualHost 133.83.35.54:80> CustomLog "|/usr/bin/logger -t apache:133.83.35.54 -i -p security.info" combined env=worm </VirtualHost>

課題 socks があればかなりのことができる コネクション flood 系の攻撃に弱い Web を利用するマルウェアの増加 Winny できます(笑) socks = ssh の動的ポートフォワーディング ログ…… コネクション flood 系の攻撃に弱い 意図しない「攻撃」が多い 自動系は使わない点と諸刃 Web を利用するマルウェアの増加 ICAP(Internet Content Adaptation Protocol)を利用したコンテンツフィルタとか お金ない人も squid + c-icap + ClamAV とか

メール配送系の話

理工学部のメールまわり MTA: postfix 2.x サーバ台数:3 Rgrey(S25R + greylisting)を使った spam 対策(2005~) http://k2net.hakuba.jp/rgrey/ S25R:Selective SMTP Rejection spam 数が 1/6 程度に減少(当社比) ウイルスメール数が 1/10 程度に減少(当社比) amavisd-new を使ってウイルスチェック Sophos AntiVirus (Sophie – SAV Interface を利用する daemon) http://www.clanfield.info/sophie/ Sophie を使わないとパフォーマンス悪すぎ ClamAV daemon 版標準添付

失敗事例 大量のメールによるメール配送遅延 素の greylisting を使うと痛い目にあう Sophos AntiVirus によるウイルスチェックが負荷に Sophie 化して対応 素の greylisting を使うと痛い目にあう SMTP を無視するサイトからのメールが届かない Rgrey 化して対応(動的 IP アドレスっぽいところにだけ greylisting を適用) ClamAV が phishing メールをうまく検出できないことがある phishing ルールのいくつかはメールヘッダも見ているようだ amavisd-new はメールを分解してボディだけをアンチウイルスに食わせているっぽい→よって検出できない postfix 2.3 以降の milter 機能を併用して対応→clamav-milter を postfix で利用する

postfix と clamav-milter http://www.postfix.org/MILTER_README.html main.cf smtpd_milters = unix:/var/run/clamav/clmilter.sock milter_default_action = accept postfix から/var/run/clamav/clmilter.sock にアクセスできるように設定しておく chgrp postfix /var/run/clamav/clmilter.sock chmod g+rwx /var/run/clamav/clmilter.sock smtpd を chroot している場合は注意(master.cf) chroot しないようにするか、あるいは chroot 先からアクセスできるように設定する

失敗事例 メールの滞留状況がわかりづらい 誤検出すると再送できない(再送するとまた誤検出するので) MX が低位のサーバに fallback するようにした fallback_relay = fallbackmx.st.ryukoku.ac.jp queue を削除する場合も fallback 先だけで処理すればいいので楽 MX が上位のサーバの負荷低減にもなる 誤検出すると再送できない(再送するとまた誤検出するので) アンチウイルスを通さないホストを用意する 一時的に特定ホストの設定を変更する

こんな感じ 外 内 postfix 1 postfix 2 fallback_relay postfix 3 sendmail MX: 15 誤検出メールを手作業で移動 sendmail

課題 ウイルスを直接添付するメールの減少 コンテンツフィルタ系の spam 対策もの? Web ページ上に設置し、spam メールでそこへ誘導する形式が増加 ウイルス対策の意味での spam 対策の重要性 そろそろ taRgrey を試してみるべきか…… http://k2net.hakuba.jp/targrey/ Rgrey にタールピット機能(接続遅延)を追加 しかし 125 秒遅延って…… コンテンツフィルタ系の spam 対策もの?

瀬田学舎教育系の話

概要 2003 年検討、2004 年導入。 クライアント: 約 1200 台 ファイルサーバ 使用期間は 5 年 クライアント: 約 1200 台 Windows / Linux デュアルブート:約 750 台 Windows のみ:約 500 台 Mac: 約 70 台 ファイルサーバ EMC Celerra NS7000GS / CX700 (ユーザ領域1.2TB) その他、ドメインコントローラ、PC 管理システム、教室用ネットワークなど

失敗事例 PC管理システムの仕様 失敗:パーティション単位での操作が明記されていない クライアント復旧インストールシステムの機能を可能とするもの Windows / Linux のクライアントバックアップ・リストアができること 教室単位・1 台単位でリストアできること OS を指定してのクライアントのリモート起動・停止ができること …… マスター・メディアからのイメージ配布・インストールが容易であること。自動化されていることが望ましい 失敗:パーティション単位での操作が明記されていない 導入されたもの(Altiris Deployment Server)は対応していなかった orz

失敗事例:Linux 採択業者が提案したのは Turbolinux 10 Desktop 仕様では 5 年サポートを明記 しかし Turbolinux FUJI 以降が続かない…… Turbolinux FUJI の通常メンテナンス終了日は 2008.11.24 なので、2009 年の夏まで使い続けるには足りない 協議継続中……

質問?