第71号 1999年9月17日発行
目次
先頭へ
「セキュリティ対策のお願い(パスワード認証の暗号化)」
インターネットの普及に伴い、ネットワークに接続されたマシンが、悪意の侵入者による不正行為の踏み台として使われるケースが増加しています。セキュリティの甘いマシンをネットワークに接続することは、結果的には不正行為の手助けをしていることと同じです。PLAIN センターでは、宇宙科学研究所のネットワークの入り口に Fire Wall を設置し、所内への不正行為を一括して阻止することを検討しています。Fire Wall では、制限を厳しくするに従ってセキュリティを高くすることができます。一方で、研究を進めていく上でネットワークの便利さは欠くことができません。特に、宇宙科学研究所は共同利用研究機関であり、所外からアクセスできることも重要です。この、相反する要求を実現する上では、各々のマシンの管理者・ユーザーの皆様の協力が必要不可欠です。
各々のマシンを守る上では、パスワードを盗まれないことが特に重要です。ところが、従来のプロトコル (telnet, ftp, r… ) では、パスワードが誰もが読める形(平文)でネットワーク上を流れていました。そこで、パスワードの流通経路上に1台でもセキュリティの甘いマシンがあると、芋づる式にパスワードが盗まれるといった被害が多発してきました。これを防止するために、PLAIN センターでは、所内の各マシンが、パスワード認証を暗号化した方法へ移行することを強く推奨します。
暗号化の実現方法はいくつか存在します。ここで紹介する SSH は、その最も普及したものの一つです。ここでは、SSH の導入における、各 OS のユーザー・管理者に生じる対応について簡単に説明します。より、具体的な設定法、使用法などの情報については http://www.pub.isas.ac.jp/security に集めていきますので参照してください。ここで述べる対策は、Fire Wall の設置とは独立してすすめることが可能であり、極力早い時期に対応して頂きたいと考えています。Fire Wall の構築法については、まだ検討段階ですが、暗号化された認証方法に移行したマシンは、よりスムーズに対応ができるでしょう。暗号化を開始しても、盗まれてしまったパスワードを用いた侵入は阻止できません。セキュリティを高めるたびに、全てのユーザは新しいパスワードに変更する必要があります。
[ Unix での対応 ]
SSH がインストールされたマシンでは telnet, rlogin, rsh, rcp といった従来のコマンドの代わりに、使い勝手が等価でより安全な slogin, ssh, scp を利用できます。また,ssh はXの通信も暗号化することもできますので,xrsh の代わりに ssh を使うようにすれば,kterm 等の安全性を高めることもできます.ftp は scp で代用できます。管理者は、ユーザーが s 系のコマンドに慣れ次第 tcpwrapper 等により telnet, r 系のコマンド、X、pop 等の利用者情報が漏洩するおそれのある接続を制限します。これにより、パスワードが平文で流れる心配を極小化できます。
[ Windows での対応 ]
端末ソフト TeraTerm に対し ttssh というライブラリを組み込むと SSH を用いた Unix マシンへのログインが可能となります。また、ttssh が提供するPortForwarding という機能(=暗号化のためのトンネル)を用いて、お好みのメーラー(Outlook Expressなど)でのメールの読み書きや、Passive mode をサポートした FTP ソフト ( FFFTP など) でのファイル転送が可能です。Unix マシンからXの画面を出すことも可能です。
[ Macintosh での対応 ]
残念ながら、この記事を書いている時点では Macintosh 用で SSH をサポートした端末ソフトは、英語版しかありません。フリーソフトでは NiftyTelnetがssh と scp の機能を実現しており、日本語を使用しないのであれば、普通の端末ソフトと同様の使い勝手で login やファイル転送の暗号化ができます。また port forwarding のソフトも英語版の商用品しかありませんが、日本語版の端末ソフトやメールソフトと組み合わせて、安全な通信を行なうことが可能です。
(松崎 恵一、三浦 昭)
先頭へ
〜宇宙研ダイアルアップルータ立ち上げ〜
以前より多くの方々から「所外から宇宙研 LAN に接続する方法」についてのお問い合わせが相次いでおりましたが、このたび、宇宙研のあるアクセスポイントにパソコン等の端末から電話をかける(ダイアルアップする)ことによって宇宙研の汎用ネットワークに接続できるようにする「宇宙研ダイアルアップサービス」を行うための設定等の準備が完了いたしました。
これまでも個人的にインターネットプロバイダ等に加入していた方々のなかには、そのプロバイダのアクセスポイントにダイアルアップする事によって、インターネット経由で宇宙研 LAN に接続されている端末に接続していた方もいらっしゃると思います。また研究室で独自に立ち上げたダイアルアップ環境を利用していた方もいらっしゃるかもしれません。今回、PLAIN センターでダイアルアップサービスを開始する背景としては次のようなものが挙げられます。
1.昨今のネットワークセキュリティの問題から「宇宙研ネットワークの入り口で所外のネットワークからのアクセスを制限する準備を整えつつある」という状況下で、所外、特に SINET (学術情報ネットワーク)環境が整っていない施設からの宇宙研 LAN へのアクセス方法を確保する必要がある。
2.短期間ではあるが、所外から宇宙研 LAN へのアクセスが必要となった際に、そのために様々な環境を独自に構築せねばならないユーザーのために容易にアクセスを実現できるようにする。
このようなことがサービス開始に至る経緯ですが、実際にこのサービスを利用するためにはいくつかの手続きや注意点があります。
a)ダイアルアップする際にはユーザー名などの情報を登録する必要があります。PLAIN センターからお配りする規定の用紙に「利用者の氏名・所属・利用環境・使用期間」などを記入し、希望のユーザー名を書き添えて担当者にお渡しください。登録後アクセスに必要なパスワードとアクセス先電話番号をお知らせいたします。(現在のところ、利用者は「宇宙研教職員のみ」としております。)
b)アクセス先電話番号は「受け専用」回線となっています。
c)このようにしてアクセスした場合、接続先ネットワークのセキュリティレベルはもっとも低いものとなっています。(図を参照)これよりさらにセキュリティの高い宇宙研 LAN にアクセスすることは、原則としてできないものとします。また、このような状態で長時間接続した場合は接続元の自身の端末もセキュリティ的に弱いものとなってしまっていることにご留意ください。
上記の注意点で、ご不審・ご不明な点、もしくは「このようなことがしたいのですが」といったご要望がありましたら、遠慮なく下記の担当までご連絡ください。
担当者:宇宙科学企画情報解析センター
長木 明成
TEL:042-759-8355
Email:akinari@nnl.isas.ac.jp
(長木 昭成)
先頭へ
大型計算機に関するお知らせ
I.大型計算機の 9 月・10月の保守作業の予定
9 月の定期保守は 9 月20日(月)の 8:00〜13:00 の間に VPP800/12 の保守作業を行います。
10月の定期保守は Alpha サーバの予定ですが今回は中止します。
II.大型計算機の課金の見直しについて
平成11年3月から8月までの間に、スーパーコンピュータ・汎用計算機のリプレースが行われて、ほぼハードウェアが全面的に変更されました。
この機会にセンター計算機の課金体系の見直しのため、ワーキンググループが設置されました。大型計算機を利用するための料金についての検討が行われて、その結果は計算機運営委員会に報告され下記の通り承認されました。
1.現状通り変更しないもの
a.課金登録 (1 件 2 万円 2 件目から 1 万円)
b.端末貸出 ( 5 万円 / 台)
c.セッション課金 (0.2 円 /分 )
d.多目的サーバ使用料 (無料)
2.課金が変更されるもの
(1)CPU 利用料金
(2)ファイルの利用上限と料金
(3)グラフィックサーバの利用
スーパーコンピュータに関連して利用される画像処理が目的なので、CPU 料金としては無料(但し専用端末のみしか Login 出来ない)で、導入時には4台の端末(研究室設置)とセンター端末室に1台が設置されます。
利用希望の研究室設置端末については、台数が限られていることから、その後の端末増設費用として年間 10 万円を課します。
III.センター計算機の運転一時停止について
順調にリプレース作業も終わり、全ての計算機も順調に運用出来る様になりました。
そこで最終段階の料金改定等に伴うパラメータセット変更のため下記の日時にセンター計算機の運転を一時停止しますので、ご協力お願いします。
記
日時 10 月 4 日 (月) 8:00〜13:00
尚 長時間ジョブについては前日にイニシエータクローズします。
(関口 豊)
先頭へ
- 編集発行:文部省宇宙科学研究所
- 宇宙科学企画情報解析センター
-
〒229-8510 神奈川県相模原市由野台 3 -1-1 (Tel 0427-59-8351,8352,8353)