私情協ニュース4

平成11年度学内LAN運用管理講習会報告



 平成11年度学内LAN運用管理講習会は、8月3、4日の2日間、東海大学湘南キャンパスを会場として開催した。 今年度は、従来の初級、中級といったプログラムを改め、基礎コース、実践コース、共通プログラムの構成で実施した。
 参加者は、基礎が122名、実践114名の236名で昨年に比べ40名の減であった。
 基礎コースは、学内LANの運用管理に必要な基礎知識のための座学に加えて、基本的な技術の修得を目的とした実習コースを設けた。
 実践コースでは、ネットワーク上のサーバ管理などの実務にあたる運用管理担当者の技術習得のため、実際の機器操作等の実習を中心とした講習を実施した。東海大学の情報処理環境設備により1人1台のパソコンを利用し、ネットワーク関連技術の操作、設定を自由に行える環境の提供が可能となった。
 共通プログラムでは、全参加者へ最新情報を提供するコースで2人の外部講師に依頼した。「Y2Kの法律問題」について岡村久道氏(近畿大学講師、弁護士)から話題性に富んだ講演と、「インタ−ネットの最新動向」について高橋 徹講氏(日本インターネット協会会長)から最新情報の講演をいただいた。
 各コースとも参加者には概ね理解が得られたと思われるが、主催者としての反省点も多々ありコースの設定とプログラム、内容と実習時間、会場運営など次年度に向けて解決すべき課題を残している。
 今回受講された参加者が本講習会を契機として、より一層の関心と意欲を持ってこれら知識・技術の修得に努められ、所属大学の実際の環境での運用にあたられることを期待したい。
 あらためて運営にご協力を頂いた多くの関係者各位に感謝申し上げます。

(文責:東海大学 井上 靖)

 以下に、基礎、実践コースにおける詳細内容を紹介する。



基礎コース

<第1日目>

 第1日目のセッションは、「インターネットの仕組み」、「情報インフラ設計のノウハウ」、「新しい通信メディア」と題して、情報通信技術の変遷、キャンパスネットワークの構築に必要な基礎知識や近年の最新技術動向、学内LAN運用管理の実践に役立つ広範な解説と説明が行われた。また、事例紹介として、「RADIUSによるダイヤルアップIP接続の運用」について、緒方道郎氏(東海大学電子計算センター)より学内LANへのダイヤルアップIP接続サービスにおける運用方法等の具体的な事例紹介があった。

「インターネットの仕組み」
 林 英輔委員(流通経済大学)より、イーサネットの基礎知識、基本技術、国内外の規格、標準化の動向を含め、インターネットの発展過程、等の解説があった。インターネットの特徴として、1990年代、世界に普及し、米国ではゴア副大統領が提唱した「情報ハイウェイの整備」着手してきた。
 教育に活用することが進められ、90年代後半にはネットワークの利用が拡大し、民間の力が活かされ、通信システムとして、パケット通信、コネクション型、双方向型、シームレス、オープンシステム、自律・分散・協調システム、イーサネットが階層型の構造で実現してきた。
 インターネットのプロトコルの体系、経路制御、ルータ、電子メールの構成、SNMP(ネットワークを分散管理する管理機能)、自立ネットワーク同士を相互接続するIX(Internet eXchange)の我が国の現状、NSPIXP1、NSPIXP2、JPIX、MEX、NSPIXP3及び地域IXの動向など、ネットワーク技術の基礎とインターネットを取り巻く現状の技術動向について、分かりやすく解説された。

「情報インフラ設計のノウハウ」
 林 英輔委員(流通経済大学)より、キャンパスネットワークを設計する際の基本について、情報収集、システム分析、システム構造、幹線系、支線系、対外接続、管理システム、設備環境、運用設計等について解説された。まず、情報収集では、日頃から市場調査に心がけ、要求仕様を整理し、学内のニーズの把握(事前アンケート・ヒアリング)をもとに仕上げ、需要予測(通信トラフィック、サーバシステムの設計)を立て整理しておく。システムの分析については、一般にネットワークシステムのライフサイクルの視点として、LANの改造、レベルアップの周期を意識せざるを得ない。各組織の管理者は、ユーザのおかれている条件の中で長期的な見通しを立てサイクルのねらいを明確にし、システムの構築(改造)後の運用効率(システムのトラフィックやサーバーの効率など)を運用時にチェックしていく。システム構造としては、以下についてあげられる。

1) 分散システム: 分散と協調の視点で検討し、機能、運用、管理する。
2) システム設計: システム要素構成、サーバの種類(エンタープライズサーバ・分散サーバ)、数量、配置、各要素の機能(設置サーバの目的)、各要素間の関係(トポロジー、トラフィックパターン)
3) 当面の課題: UNIXサーバかWindowsNTサーバどちらの機能を導入するか。
4) 対外通信トラフィック増大に伴う対応として、proxy、squid等の導入を検討する。
5) セキュリティ対策
6) 運用面からの考慮する点:要員の配置、障害対応などを事前に考慮する。
 また、幹線系の構成として、メディア、配線システム、トポロジー、高速ギガネット、FDDI・ATM、配線として、光、同軸、UTP、幹線系と相互接続LAN間、ルータ、スイッチ等、高速ルータの国内開発が進んでおり、値段、機能による選択が必要である。この他、マルチホームやLANへのアクセス回線(ISDN、電話公衆網)、システム保護措置(ファイアウォール、TCPwrapper、アクセスサーバ)、障害管理、構成管理、性能管理(SNMP、RMON、NMS、MRTG[UNIX])、付帯設備設置条件(電源、停電、接地、発熱)等についても、キャンパスネットワークの設計をする上で、具体的な要求仕様作成に役立つ解説がなされた。

「新しい通信メディア」
 大塚秀治委員(麗澤大学)より、21世紀に向けて「新しい通信メディア」として、近年、話題になっている3種の情報通信サービスの形態について、解説があった。
 1)衛星インターネット、2)xDSL、3)CATVインターネットの事例をもとに紹介され、近年の「大学ネットワークの変化」についても利用者の増加、端末数の増加、アクセスラインの多様化・高速化、キャンパス内で広く利用されているPHSの普及などに伴い、アクセスサービス、アプリケーションの充実、学内外のコンテンツの充実などが顕著になってきている。インターネットへの専用回線についても、小規模校で1.5Mbps、小中規模校において今後は3〜6Mbps程度へ更新することが必須となることが想定される。また、今後のソリューションとしては、安くて質の良い商用サービスの購入、ATM化、マルチホーム化への対応を判断していくとともに、大学ネットワークとして新しい通信メディアへのニーズに応えることが期待される。

「事例紹介:RADIUSによるダイヤルアップIP接続の運用」
 緒方道郎氏(東海大学)より、会場校(東海大学)におけるダイヤルアップIP接続環境、RADUISサーバの構築、設定、ダイヤルアップ接続記録、サービス後の問題点の紹介があった。接続時間については、1回あたり1時間制限を長時間利用の需要に対応する措置として、1週間の利用を7時間までに制限を緩和した。7時間の設定については、利用統計をもとに算定されている。また、利用者自身が利用時間を確認できる機能を提供し、円滑な運用が行われている。また、他の校舎に独自に展開されているメールサーバをRADIUSサーバとして利用し、他の校舎の「ユーザ登録」を行い、ダイヤルアップIP接続サービスのアクセスポイントとして、全国展開も技術的に可能となる等、画期的な方策が紹介された。各組織間の調整、特に運用ポリシーなどの定義、高速なユーザ認証が必要となる等の課題も紹介された。


<第2日目>

 第2日目のセッションは、「ネットワーク管理の領域と業務」と題して実習を行った。東海大学の120人規模のパソコン演習室を実習会場に、管理者が日常業務として、ネットワーク監視、管理、障害発生、検証に使われる管理用ツール(コマンド)等の紹介と動作状態を実習した。また、事例紹介として、「ユーザ認証を活用した情報コンセントの活用」と題して、の服部裕之氏(明治大学情報システム事務部)より明治大学の「リバティータワー」に設置した情報コンセントの運用方法等について具体的に紹介いただいた。

「ネットワーク管理の業務と領域」
 大塚秀治委員(麗澤大学)より、ネットワーク管理としての業務が広範囲になり、管理者の負担が多く、サービスの多様化、技術革新が加速し、技術スキルを維持することが大変である。それだけに大学のシステムにおける管理者の位置づけは、管理運営組織に影響が大きい。ただ、近年はネットワークの重要性の認知度、メーカー・ベンダーの技術力も向上し、人材確保、補助金制度の活用も積極的に行われ、全般的に改善されてきているように思われるとの解説がなれた。また、危機管理、セキュリティの重要性については、ネットワークを脅かすものとして、不正使用、盗用、改ざん、システム破壊、利用不能に陥れる行為、コンピュータウィルス、攻撃などがあり、大学内部からもこれらについての脅威、危惧される問題も指摘されている。そのためにユーザー教育、情報コンセントの保護などの対策を講じることが必要である。また、被害と対処方法として、専門機関(JPCERT)の指示に従う。このような事件が発生した場合に被害者等から来る苦情メールの処理マニュアルを作成し、迅速な対処に心がける体制を整備する。事件を確認するためには、ログの採取、整理、保存に努める。実習においては、ping、tcpdump、nslookup、MRTGの管理用ツールの解説と動作状態を確認した。

「事例紹介:ユーザ認証を活用した情報コンセントの活用」
 服部裕之氏(明治大学)より、1998年9月に竣工した「リバティータワー」に設置整備された情報コンセント(約9,000個)の利用環境について紹介があった。利用のイメージとして、パソコンを情報コンセントに接続し、メール、Webの利用サービスが提供される一方で、管理面でセキュリティの確保、学外者のネットワーク接続を制限するため、情報コンセントに利用制限を設定し、OSI参照モデルの物理層、データリンク層、ネットワーク層に分けて、システムの構築が行われている。利用者が情報コンセントに接続し、建物内に設置された情報コンセント群と教育研究ネットワーク、事務系ネットワーク等とは、ネットワーク層でファイヤウォールを設置し、利用制限を設定している。また、DHCPサーバの導入による情報コンセントの接続から利用まで、簡易な接続サービス、セキュリティを確保するべく整備されているシステムの紹介であった。

(文責:工学院大学 佐古 卓史)



実践コース

<第1日目>

「ネットワークサービス業務、基本サービスの導入実践」
 町田富夫委員(明治大学)、市田義明委員(岡山理科大学)、宮本勉委員(嘉悦女子短期大学)が担当し、ネットワークの基本となるサービスを提供するにあたってのアプリケーションのインストール、およびその設定について受講者に実習の上、修得してもらうこととした。また、東海大学の情報処理教室のWindowsNTとLinuxのマルチブート可能な環境の利用によって、本年度はじめてプラットホームとなるOSをUNIXだけではなく、WindowsNTについてもその対象とすることができた。

「WindowsNT環境での導入実践」
 ドメインネームサービスの運用は、インターネットを利用する上で必須のものであり、またこのシステムの安定的な維持管理は、ネットワーク運用管理のもっとも基本となるものであり、今回の実習では、一部局のネットワークを任された運用責任者という立場で、サブドメインを構築することを前提としてDNSの設定を実習した。
 NTサーバ環境のDNSアプリケーションとして、BIND4.9.7をftpサーバからダウンロード、インストールすることから始めた。NTのGUI環境からのインストールは容易であったが、その後のコンフィグレーションの定義にはかなりの時間が必要であったため、全受講者の一部は、動作の確認ができないままに終わった。
 次に、NT上のメールサーバシステムとして、NEC製のExpressMail、WWWサーバシステムについては、NT版のapache 1.3.6を例にインストール・設定の実習を行った。これらもインストールまでは比較的容易に行えたが、その設定に関しては前提となるDNSの未完成もあり、現実にそれぞれのシステムの動作を検証するまでには至らなかった。

「UNIX環境での導入実践」
 UNIX環境についても、NT環境と同様のサービスに関して実習を行った。DNSに関しては、BIND8.2.1の導入を行ったが、ソースのダウンロードに時間がかかり、また、サーバが同時に全ユーザからの処理を受け付けないなどのトラブルがあったため、作業に大きなばらつきが発生した。
 結果、設定まで完了し、動作確認がきたのが少数に留まったことは残念であった。
 Sendmailは、ドメインネームサービスに次いでネットワークサービスの基本サービスであるが、その環境定義ファイルsendmail.cfの定義は非常に複雑であり、CF等のツールを利用することが通常の処理となっている。今回の講習ではsendmailおよびCFの利用方法も含め、実習を行った。
 Apacheについても導入・設定の実習を行ったが、時間的な制約からほとんど説明だけに終わったことは残念であった。また、それぞれの詳細な機能とその設定までを解説できなかった点も心残りであった。


<第2日目>

「セキュリティ対策」
 後藤邦夫委員(南山大学)と坪内伸夫委員(京都産業大学)により、セキュリティ対策に関するツールの利用方法および、実際にセキュリティをおびやかす事例の紹介などを行った。
 まず最初に、世間に流通するソフトを使って、ネットワーク上のWindows95マシンを別のマシンから攻撃し、システムを停止させるといったデモンストレーションが行われた。セキュリティを突いて攻撃することがいかに容易であり、実際に起こりうる可能性があるかを、デモを行うことで受講生の注意を喚起した。以下、各種のツールを利用して、セキュリティ対策として運用管理担当者に必要な知識、技術がそのようなものであるかを示した。

「SAINT」
 受講者の機器のLinux上でSAINTと呼ばれるセキュリティホールを解析するツールをインストールし実際に操作することにより、セキュリティホールがそれぞれのサーバに実在することを確認した。また、このようなツールを悪用すれば、攻撃すべきポイントも明らかとなり攻撃が容易であること、その上で運用管理者としてはそれ以上の対策を立てる必要があることが示された。

「Crack」
 Crackと呼ばれる、パスワードファイルからそのアカウントのパスワードを推測するソフトを実際に利用して、いかに容易にパスワードが破られるかを検証した。このようなソフトが流通しており、誰もが利用可能である以上、このソフトで推測が可能であったパスワードについては、パスワードとしての要件を満たしていないことが示された。その上で、どのようなパスワードであれば推測困難であるかについても解説され、利用者への指導の重要性を示した。

「Tcp Dump」
 ネットワーク上を流れるパケットを取得するためのソフトとしてTCP DUMPがあるが、これを利用して、ネットワーク上を流れるパケットからパスワードやその他機密を要する情報を拾い読みすることがいかに容易であるかを示した。このための対策として、機密情報の暗号化や部外者がネットワークに接続することができないシステムの構築などが必要であることが示された。

「Tcp_wrapper」
 各サーバ1台ごとのアクセスを制限するツールとして、Tcp_Wrapperが紹介された。実際に受講生は各自のマシンに許可・禁止の設定を行い、サービスプロトコル、アドレス毎の指定により、アクセス制限の実際の効果を検証した。

「事例紹介」
 最後に、坪内委員より京都産業大学で実際に起こったアタックの事例を紹介された上で、実行者、被害者への対応だけでなく、社会的な影響をも含めた大学側の対応方法はいかにあるべきかを示された。受講者は、実際に起こったことだけに真剣に話に聞き入る姿が見られた。

(文責:同志社大学 尾崎 善則)


【目次へ戻る】 【バックナンバー 一覧へ戻る】