全学ファイアウォールの申請メニューの強化について
情報部情報基盤課ネットワーク係 野田大輔
情報部情報基盤課ネットワーク係 森倫子
サイバーサイエンスセンター 水木敬明
1 はじめに
2014 年7 月から運用開始した全学ファイアウォール[1, 2] は,学内に存在するサーバ等が意図せず学外へ公開されることを防止し,さらに2015 年6 月からは一部のP2P アプリケーションの通信を遮断するなど,TAINS のセキュリティ向上に貢献してきました。この度さらなるセキュリティの向上を目指し,全学ファイアウォールの許可ポート設定のメニューを拡充しました。本稿ではこの全学ファイアウォールの申請メニューの強化について記載します。
2 通信許可ポートの拡充について
これまで全学ファイアウォールの許可ポート設定は,「全許可」,「全不許可」,そしてウェブサーバ向けの「ウェブサーバのみ許可」の3 種類でした。許可ポート設定を3 種類とした理由は,導入初期に予想される多数の申請対応にあたる人的リソースを考慮してのものです。しかしながら実際にはウェブサーバ以外の用途のサーバも数多く存在するため,より適切なアクセス制御の実現を目指し全学ファイアウォールの許可ポート設定を拡充することとしました。
具体的には,これまで「ウェブサーバのみ許可」としていた設定を「サーバ機能」に変更し,その中でウェブサーバ以外のサーバ向けの許可ポート設定も選択できるようにしました。選択できるサーバ機能は「ウェブ」,「メール」,「DNS」,「リモートアクセス」,「サーバ管理」,「遠隔会議システム」の6 種類です。それぞれの設定の許可ポートは学内向けTAINS ウェブページ[3] をご参照ください。
「サーバ機能」では複数のサーバ機能を組み合わせることができます。例えば当該サーバがウェブサーバとメールサーバを兼ねている場合,サーバ機能のうち「ウェブ」と「メール」を選択することで,「ウェブ」と「メール」のポートを全て許可することできます。これにより学外へ公開するサーバに合わせたより適切なアクセス制御を実施することができます。申請方法の詳細については学内向けTAINS ウェブページ[3] をご覧ください。
3 おわりに
本稿では2017 年3 月に実施した全学ファイアウォールの許可ポート設定の拡充について述べました。メールサーバやDNS サーバ向けの許可ポート設定が追加され,より適切なアクセス制御を行うことが可能となりました。部局の管理者の皆様は,セキュリティ対策のさらなる強化のために全学ファイアウォールの設定を今一度ご確認いただき,必要に応じて申請をお願いいたします。
参考文献
[1]野田大輔, 森倫子, 水木敬明, “全学ファイアウォールについて,” TAINS ニュース, No.43, pp.2–3, 2014. (http://www.tains.tohoku.ac.jp/news/news-43/0203.html)
[2]野田大輔, 森倫子, 水木敬明, 曽根秀昭, “東北大学全学ファイアウォールの運用に関する報告,” SENAC,Vol.49, No.1, pp.37–39, 2016.
[3]学内向けTAINS ウェブページ,
https://www2.tains.tohoku.ac.jp/
