« 10. 持ち出し禁止データを外部から安全に利用する一方法 [セッション4: セキュリティ(2)] | メイン | 12. 年老いた恐竜は電子ナイフの夢を見るか? - ε-ARK on Zaurs の開発 - [セッション4: セキュリティ(2)] »

2008年12月 4日

11. 学内ネットワークの安全性向上を目指したアクセス制御と脅威検知の導入 [セッション4: セキュリティ(2)]

カテゴリ:第1回 インターネットと運用技術シンポジウム(IOTS2008)

11. 学内ネットワークの安全性向上を目指したアクセス制御と脅威検知の導入
宮下健輔(京都女子大)

・KWIINS、学内ネットワークシステム、200004-200703
・サーバはSolaris、FreeBSD

・KWIINS 2.0 200604-
・Mac OS X Server
・基幹、スター型、中心L3SWを二重化、配線を二重化
・周辺にL2SW

・運用体制
・情報政策委員会
・情報システム運営委員会
・職員(情報システムセンタ課長+係長)
・常駐SE(サーバ2名、クライアント2名)
・教員(管理責任者、運用責任者)
・常駐SE&運用責任者の3名でネットワーク・サーバの管理を、、、

・認証(KWIINS)
・DHCP利用申請書(紙)、MACアドレス登録(手動)
・ネットワーク利用申請書(紙)、固定IPアドレス、何も登録しない・接続確認無し
・不正利用は7年間で数件、未使用IPアドレスを勝手に振る、DHCPサーバを自前で起動(故意ではない、、、)
・学内・学外パケット調査、Worm、P2Pパケットなど検知せず

・感染防止
・L3SWにてaccess list記述、手動、ICMP、port 13[5789],445など
・W32.Blasterとかで効果有り
・が、サブネット内での感染を防げず、pandemic!!
・ネットワーク系の実習に不都合、ping、tracertコマンドだんめ、経路封鎖されてます!

・KWIINS 2.0
・DHCPでIPアドレス付与
・ユーザが指定のWebにアクセス
・L2SW(apresia2124)からradiusへ
・Macアドレス認証でOKな奴も、プリンタとか無線AP、紙で申請だけど、、、

・機器認証→ユーザ認証
・Macアドレス→ユーザ名+パスワード
・2007年8月から部分的に開始、事前に文書配布、当日から質問、苦情の山、、、夏休み明けにも山、、、
・2007年12月に運用規則を改正
・2008年1月から全学で開始、平穏

・成果
・事前申請が不要になった
・即時性が向上
・一時的な接続が容易に
・アカウントのないユーザは利用不可、院生、研究員など、、、規則改正



投稿者 ymkx : 2008年12月 4日 17:29 |