私情協ニュース5

平成14年度 学内LAN運用管理講習会報告

　平成14年度学内LAN運用管理講習会は、８月６日、７日の２日間、東洋大学白山キャンパスを会場として開催した。初級相当 約100名、中級相当 約80名、上級相当約45名 の合計228名の参加があった。今年度は、初日午前中の共通プログラム後に、２時間の講習を四つ選択し、最後に再度全体会を配置することで、講習会全体の一体感を出すように心がけた。
　初日の共通プログラムでは、井上　靖担当理事 （東海大学）、会場校の挨拶に続き、委員長が各コースの位置付けを説明した。次に、星野　辰夫氏（東海大学）より「最新の学外接続サービス事例」として、10Mbps以上の速度で複数キャンパスの LANを直接接続するサービスの利用例を紹介いただいた。そして、佐々木　良一氏（東京電機大学、不正侵入対策小委員会委員）より、「ネットワークセキュリティポリシの考え方」について分かりやすく解説いただいた。
　２日目の全体会では、学内ネットワーク管理業務の外部委託事例を市田　義明 氏（岡山理科大学）、山田　憲男氏（日本女子大学）より紹介いただいた。岡山理科大学では超高速ネットワークを遠隔教育に活用している点、日本女子大学ではサーバ機をWindowsで統一している点に特徴がある。
　最後に選択プログラムの各コース受講者から電子メールで寄せられた代表的な質問に対して、各プログラムの講師が回答してまとめとした。
　今年度の講習プログラムでは、数年前から小委員会で提案されてきた選択（アラカルト）方式を初めて採用するという大きな変更があった。従来は初級、中級、実践などコース制だったが、より興味と一致したクラスが受講できるようにするための工夫である。初めての選択方式の運用でクラス設定、人数調整など不十分な点があったが、アンケート調査での評判は悪くなく、次年度もこの方式をとるか今後検討する予定である。
　ノートPCを学生に貸与する大学が増えている昨今では、受講者一人１台のコンピュータ操作を前提とした講習環境の提供が難しくなってきた。また教室PCの環境の変更と復帰の手間も大変である。幸い今回も会場校の御協力で台数を確保できたが、次年度以後はどうなるかわからない。昨年度試行した一部のコースではノートPCに指定OSをインストールして持ち込みとしたが、OSのインストールが大変という受講者からの声があり、今年度はE、FクラスだけノートPC持参とし、指定OSの基本機能を簡単に追加できる方法をとった。準備にはかなりの時間を要したが、まずまずの成功であろう。
　以上の通り、プログラム、講習環境、運営について様々な問題を抱えながらも、講習会は無事終了したが、次年度に向けて講習会の意義、目的などについても今後見直していきたい。
　あらためて、会場校ならびに運営にご協力をいただいた多くの関係者各位に感謝申し上げます。

Ａ1・Ａ2クラス（初級程度）
LAN、インターネットの仕組み

　「Ａ１クラス」では、まずネットワーク運用管理の心構えについて触れたあと、運用を楽にするためのサービスとしてヘルプデスクについて説明を行った。次にこのコース全体で利用するアカウントの確認と実際に機器を利用した実習を行った。Webブラウザで統計情報を確認しながらインターネットの現状についての説明を行った。
　「Ａ２クラス」ではLANの基礎としてイーサネットについて説明が行われたあと、TCP／IPの基礎を実習を通して学習した。主にネットワークの設定情報の確認とネットワークの到達性の確認の実習を行った。
　また、会場のネットワークの一部に障害が発生したという想定で、ネットワーク機器を実際に遮断し、その箇所を特定するという総合演習を行った。講習会で紹介されたツールを駆使して障害を切り分ける演習で、予想より多くの参加者が障害箇所の特定に成功した。

Ｂ1・Ｂ2クラス（初級程度）
ネットワークサービス

　「Ｂ１クラス」ではTCPによる通信の確認を行った後、WWWの仕組みを実習を通じて学んだ。HTTPプロトコルによって実際にサーバとクライアント間でやりとりされる情報をTELNETを使って確認した。また、最近注目されるサービスやセキュリティの話題にも触れた。
　「Ｂ２クラス」では電子メールの仕組みについてSMTPとPOP3を例に挙げて実習を行った。実習では演習シートを利用してヘッダを詐称したメールを自身のメールアドレスへ送信する実験を行うなど、解説事項に対して十分な理解が得られていることを確認しながら進められた。

C'クラス（中級入門）
UNIXホストのセキュリティ管理基礎編

　本コースは、UNIXによるネットワーク管理の初心者を対象として、UNIXの知識を前提としない講義と簡単な実習を行い、UNIXサーバ等の管理への導入の指針を与えることを目的とした。内容は、1）アカウントとパスワード、2）プロセス、3）ファイルアクセス制御の三つの項目とした。
　第１項目のアカウントとパスワードでは、UNIXにおけるユーザ管理の基礎として、ログインアカウントの役割を理解し、ユーザから見たアカウントとパスワード、アカウントのUNIXシステム内での管理方法、管理者によるオペレーションといった観点からの説明を行った。
　第２項目のプロセスでは、UNIXサーバにおけるファイルをはじめとする各種資源へのアクセスを理解するうえで、プログラム実行のメカニズム（プロセスの生成と消滅）、プロセスによる資源へのアクセス等に関する知識を与えた。
　第３項目のファイルアクセス制御については、一般ユーザやUNIXシステムの管理者として必要なファイルのアクセス制御（read、 write、 execute）の意味と設定方法を把握するだけではなく、第１項目、第２項目の内容を踏まえて、その原理や内部的振舞いを理解することを目標とした。特に、suidとsgidを取り入れた実習を行うことによって、参加者の理解を深めた。
　初心者対象の講義としては、適切に行うことができたと考えている。実習に関しても、参加者にプログラムを作成させない範囲としては適切な実習であったと思われるが、簡単なスクリプトを書く程度の作業を加えても良かったと思われる。今後の課題としたい。

Ｃクラス（中級程度）
UNIXホストのセキュリティ管理

　UNIXホストの管理上の問題、特にセキュリティ上の問題を、実際のセキュリティホール発見の方法論を交えて講義と若干の実習により紹介した。具体的な内容として、１）ポートスキャンの実際とその後のアプリケーションの脆弱性チェックの簡単な例、２）セキュリティパッチと適用の方法、３）アクセス制限の必要性と具体的な制限の方法、４）通信路上の情報漏洩、特にパスワード漏洩対策、の４項目を取り上げた。
　ポートスキャンについてはスキャニングの目的と同時に簡単な方法を示し、実際にポートスキャンの検査を実施できるページを紹介した。また、その後の脆弱性チェックについて具体的な自習を行った。セキュリティホールの説明後、OSに対する推奨パッチの適用方法、アプリケーションごとのパッチの情報とその対策手段を具体例を交えて示した。サービスごとのアクセス制限については、まずログの重要性とログ収集の問題点を示し、その後TCP Wrapperやそれぞれのアプリケーションごとのアクセス制限の方法を紹介した。最後に、通信路上を流れるパケットをキャプチャすることで、簡単に情報が漏洩するデモを行い、対策としての通信路暗号化の必要性とそのためのルーツについて解説した。
　２時間という限られた枠内に内容を詰めすぎており、受講生によっては消化不良を起こした可能性がある。今後は、内容をさらに精選し、より多くの実習を取り入れるなどして、内容を理解させるとともに、受講生を飽きさせない工夫が必要であると感じた。

D'クラス（中級入門）
UNIXネットワーク管理基礎編

　このコースの主な目的は、初心者を対象に、UNIXシステムをネットワークサーバとして運用するときの基礎的知識を提供することであり、全体像をイメージできるようにと、基本的仕組みにウェイトをおいて講習を行った。取り上げた主な内容は、ネットワークサービス概要、サービスプロセスの管理、セキュリティ管理の要点である。
　ネットワークサービス概要では、サーバとクライアント間の通信の仕組みについて、telnetコマンドでのサーバとの通信実習、netstatコマンド等でネットワークサービスの状態を調べる実習を交えながら、ポート番号とネットワークサービスを中心に概要説明を行った。サービスプロセスの管理では、initによるブート時のプロセス起動およびinetdによるネットワークサービスプロセスの起動の仕組み、プロセス状態の見方などを解説し、サーバの状態を把握するための基本的知識の習得を目指した。セキュリティ管理の要点では、root権限でのプロセス実行の制限、不要なサービスの停止、TCP-Wrapperによるネットワークサービスへのアクセス制御、設定ファイルによるアプリケーションでのアクセス制御、ログによる監視を取り上げた。アプリケーションでのアクセス制御では、ちょっとした設定ミスが顧客情報の漏洩などのセキュリティ問題を引き起こすことを、WWWサーバを例に、デモ環境で実習しながら解説した。
　２時間という限られた時間内での講習ということもあって、すぐに役立つ個別Know-How、How-Toというよりは、UNIXシステムの全体像をイメージできるようにと、基本的仕組みにウェイトをおいた講習となった。Know-How、How-Toを期待した受講者には物足りなかったのではないかと危惧している。

Ｄクラス（中級程度）
UNIXネットワーク管理

　本コースは、UNIXネットワーク管理を中心課題とする講習で、１）「ネットワークの設定」、２）「ネットワークモニタ」、３）「ネーム・サービスの概要」である。会場にUNIX(Solaris)講習用マシン２台を設置して、NFS(Network File System)のサーバ／クライアント、NIS(Network Information Service)のマスタ／スレーブサーバとクライアントのセットアップを行った。１）では既設のWindows端末のネットワーク環境とUNIX講習環境のシステム立ち上げ時のネットワークに関する各種シェルスクリプト設定及び関連ファイルの解説と実習を行い、２）ではネットワークのトラブルシューティングに欠かすことのできないネットワークの通信状態を調査するコマンドを紹介した。続いてNFSによってファイルを共有する際のサーバでディレクトリの貸し出し許可を与えるshareコマンドとクライアントから共有ディレクトリのリモート・マウントを要求するmountコマンドおよび関連コマンドの解説と実習を行った。３）では複数のホストをネットワーク上で管理する場合、ネームサービスが有効である。ネーム・サービスとは、ユーザ、マシン、アプリケーションがネットワークを通じてやり取りする必要がある情報を一元管理するサービスである。主なものにDNS(Domain Name System)、NIS、NIS+がありその詳細について解説を行い、特にネットワーク上で各ユーザ情報を管理するNISに関する解説と実習を行った。
　本コースの１回目は上級のＦクラス受講の参加者であり、NIS&NFSのセットアップに関する詳細な解説を行った。２回目は中級入門のD'クラス受講の参加者でウォーミングアップとしてUNIXの基本コマンド及びテキストエディター（vi系）の簡単な練習を行い講習を行った。

Ｅクラス（上級）
IP基礎実習

　IPv4による古典的LANについての解説、構築とIPv6についての基礎的な説明、体験を行った。受講者にはノートPCを持参していただき、こちらで指定したLinuxが動作する状態で参加していただいた。ノートPCへLinuxをインストールしてもらうのは、昨年の実践UNIXコースで行ったが、パーテーションなどの環境を変更してしまうため、受講者の負担が大きかった。今回はLinuxを直接PCにインストールすることは避け、Windows環境にイメージファイルを置いて、フロッピーで起動するという工夫をした。
　講義はIP・ICMP・TCP・UDPの各プロトコルについてヘッダの説明など詳細に行った。ネットマスク、ARP、DNS、経路制御についても説明をした。
　実習では受講者のノートPCにNICを追加し、ルータとして構成し、ネットワークに接続した。パケットモニタリング実習ではARPを例にとり tcpdump を使い、ネットワーク上にどのようなパケットが流れるか確認をした。経路情報の設定では、まずスタティックに経路を設定してもらいお互いに通信できることを確認した後、マスク値を変えたらどうなるかを実験した。またroutedを使いRIPによる動的経路情報交換も行った。
　IPv6については128ビットのアドレスについてと、グローバル・サイトローカル・リンクローカルアドレスなどの説明などを行った。ノートPCにサイトローカルアドレスや、IPv4互換アドレスを振り、ping6などで接続確認を行った。またIPv6アプリケーションとしてapacheを用意し、アプリケーションレベルでの通信確認も行った。

Ｆクラス（上級）
ファイアーウォール・ゲートウェイ、IDS（ネットワーク型侵入検知システム）の運用管理

　Ｅクラス同様、受講生にノートパソコンを持参していただき（事前インストール内容もＥクラスと同じ）講義、実習を行った。
　まずルータによるパケットフィルタリングについて Linux 付属の iptables を例にしてどういったことができるのかを説明した。実習環境は各受講者のノートパソコンをルータにして他の受講者とつなぎ、ノートパソコンを学外接続用のルータと見立て、学外接続のためのフィルタリング設定を行った。フィルタリングは基本ポリシーをすべて止めることとし、必要なものを通す設定とした。例としてicmp、ssh、telnetなどの通過設定を行った。設定はただ通過許可するのではなく、TCPのコネクション（synやackなど）を考慮した設定を行い、動作を確認した。
　次に侵入検出システム（IDS）について種類、設置目的、利点、欠点の説明をして、NIDSの設置例や仕組み、検出できる事象の例などを説明した。また現状ではNIDSを運用するためにはかなりの労力が必要となることも説明された。実習ではフリーのNIDSである snort をノートパソコンに導入・設定して、デスクトップパソコンから擬似アタックのために用意した java applet を使い、TCPやUDPポートスキャンを行った。snort の検出設定を変えて、ログの出力結果がどのようになるかを確認した。
　Fコースの受講者のほとんどがEコースを受講していたので、Linuxの動作確認やネットワーク構築で時間をとられることはなかったが、パケットフィルタリング、NIDSを２時間で学ぶには少々時間が足りず、駆け足ぎみになってしまった。