第16回 国立大学情報処理センター協議会

分科会


(updated by yozo. Thu Jul 13 13:32:15 JST 2000)
発表1: IPアドレスの管理 ---- 櫻井 成一朗 (東京工業大学)
議事録: 篠宮 俊輔(農工大), 戸田 洋三(千葉大)

東工大におけるプライベートネットワークの運用体制について報告があり、運用
ノウハウについての質疑応答が行われた。質疑応答の中で、東工大ではセキュリ
ティレベル向上のためにプライベートネットワーク利用を推進している旨、回答
があった。
(議事録詳細については削除しました)

---- 以上 ----

(updated by yozo. Mon Jul 10 14:49:32 JST 2000)
発表2: メイルの不正中継・スパムメール対策 -- 原山(成田) 美知子 (岐阜大学)
議事録: 篠宮 俊輔(農工大), 戸田 洋三(千葉大)

原山:アメリカではスパムは大問題になっているが、日本では「対策をしましょ
うか」と言い始めている程度だと認識している。岐阜大の中では、大学は大き
なアドレス空間を割り当てられているので、オープンリレーを止める責任はな
いのか? という意見があった。

(以下, 資料を見ながら)
資料(SPAMについて): AOLによる訴訟なども起こっている。オープンリレーは
        昔は有効な場面も多かったが現在では欠点ばかりになっている。
資料(SPAM対策):
        ・不要なMTAは止める
        ・最新バージョンを使う
        ・open relay を止める
        ・MAPS, ORBS などの利用による中継拒否
        ・現在のsendmail(8.9.*)では "POP BEFORE SMTP" による認証を利用す
          る方法もある
資料(MAPS RBL利用例): sendmail.cf の設定例
資料(オープンリレイの現状): ※1のORBS登録数はデータベースに「のってし
        まった」ホストの数である。一ヶ月くらい放置されたホストの数を計
        数している。アメリカではSPAMは社会問題になっており、SPAM対策
        をしないと責任を問われる状況である。そこで、まだセキュリティ
        的に甘い日本へと標的がかわってきている。
資料(SPAM対策に関するRFC): SPAM対策はサーバ管理者がしなければいけない
        こととRFC2505でも提言されている。       
資料(SPAM対策管理): 学内のサーバ管理者全員が必ずしも対応が早いとは限ら
        ないのが問題。
資料(ORBSのしくみ):
        imrss.org(?)からポートスキャンを行うこともあるらしい。詳細は
        不明。
        現状はメールをフィルタリングしてしまっていたりなどして
        postmaster宛のメールを管理者が読んでいないことが多いのではないか。
資料(ORBSの利用): ORBSでは一週間に1度など定期的にレポートを送ってもら
        うこともできる。岐阜大ではこれを管理者宛に送っている。
資料(効果など):
        ORBS利用の利点: けっこう素早く対処してくれている。
        ORBS利用の欠点: ORBS に載るまえにrelayに使われてしまうかも。
資料(ポートスキャン):
        ポートスキャンの利点: 予防措置ができる
        ポートスキャンの欠点: 事前に了解がとれてないと文句を言われることもある
資料(使用ソフトなど): AGNetTools の紹介


○○: AGNetToolsはオープンリレーまでチェックしてくれるのか?

原山: わからない。URLを参照にしてください。

○○: ORBSの問い合わせをするとポートスキャンをかけてくるのか?

原山: ポートスキャンはかけない。メールを送るとORBSにあるデータベースの
ダンプを送ってくる。すぐにレスポンスがある。

原山: いっそのことプライベートにするべきかそれともグローバルのままで行
くかどうか?  また、IPv6になるとヘッダに様々な情報がかけるので、セキュ
リティも強くなっていると思う。が、どうなの?

○○: 学外から学内へのメールはいちど大学の代表メールサーバに集約して配
送する。外に送るときは個々に送っている。

○○: (ポートスキャンなどして調べれば)学内の個々のメールサーバのアドレ
スは分かってしまうのではないか?

高田(電通大): ルータでスクリーニングして代表メールサーバ以外は外部から
直接アクセスできないようにしてしまえばよい。

○○: クライアントの側で "I Love You" ウイルスをばらまいてしまうなど事
件があるので、メールサーバでウイルスチェックを行うなどの準備をしている。

原山: 最近、ユーザが大きなメールを送るのでスプールがあふれた。qmailを
入れようかと考えている。

櫻井(東工大): 東工大ではqmailを利用している。新たにサーバをたてる時に
はqmailを入れている。講習会も開いている。不正中継の設定が楽。しかしメー
リングリストについてはsendmailと互換性がない。CFのマニュアルを読まなく
て良いという利点がある。qmailだとスプールディレクトリを各人のホームディ
レクトリに設定出来る。

原山: 現在は1人あたり2MBとアナウンスしているが、論文投稿などで大きなデー
タを送りたいという要望がある。

原山: 最近のメールがらみの問題としては、ユーザの利用環境が良くなってき
ているので巨大なメールを送れることや、善意のチェーンメールが起きてしま
うことである。

戸田(千葉大): 広報活動は? 講習会などをおこなったのか?

原山: メーリングリストはあるが情報処理センターのユーザだけの登録となっ
ている。全学のメーリングリストはむやみなメールが届いてしまうということ
で出来ていない。最近では講習会に人が来ない。講習会のプレゼン資料をWeb
に載っけて見られるようにするのが効果があるのではないかと考えている。

原山: IPアドレスの不正利用があるがどうしているのか?

奈古屋(一橋大): 大学院生だけの建物があり、そこはDHCPでやっている。たま
に利用するネットワークアドレスを変えてしまう。そうすると不正に固定IPを
利用しているユーザに対するふるいになる。

櫻井(東工大): 東工大では申請書を出さないと利用できないのでそのような問
題はない。

○○(福井大): 各部局のルータにIPアドレスを登録するのか?

櫻井(東工大): ネットワーク単位で登録して利用できる。有効にしていないサ
ブネットが使えるということはない。

奈古屋(一橋大): ホスト単位でスクリーニングしているのか?

櫻井(東工大): 入口の部分で、外にアクセス出来るホストをホスト単位とネッ
トワーク単位で制限している。

高田(電通大): 情報コンセントについて、その制限とログをどのようにとるか。

鳩野(神戸大): 利用するNICをセンターまで持参してもらいMACアドレスを登録
している。

○○: 他の大学で、デフォルトでは外に出られなくて、ゲートウェイのサーバ
にtelnetするだけで学外へフォワーディングするという方法を採っているとこ
ろもある。

福島(埼玉大): HTTPの利用も認証サーバを使うようにしている。

山井(岡山大): 情報コンセントについてはIPとMACを記録するシステムを開発
した。大阪市立大学と共同開発。大阪市立大学では試験運用している。

高田(電通大): 製品化されている?  FW-1のログは証拠として法廷で認められ
ている、と聞く。法的な証拠能力のあるログがとれることが必要なので、商品
化されると嬉しい。

山井(岡山大): このシステムについては去年7月のIPSJ-DSM研究会で発表した。

---- 以上 ----