前号へ 次号へ 宇宙科学企画情報解析センター ISASホームページ バックナンバー


第74号 1999年12月17日発行

目次


先頭へ


 

ファイアウォールの導入について

 PLAIN センターでは、3月末を目処としたファイアウォールの構築準備作業を開始しています。現在、計算機運営委員会で議論してもらうための叩き台を作成している段階ですので、皆さんに必要性を理解して頂くとともに、ご意見をお寄せ戴ければ幸いです。

 所内サービスホストの管理者に対して は mailing list で、所外を含めた一般の議論の場として WWW 上の掲示板や Net-News を活用していきたいと考えています。 これらの関連情報は、 逐次 WWW (http://www.pub.isas.ac.jp/security/ )にて公開していく予定です。

 近年、不正侵入/踏み台/メール不正転送などが増加し、所内ばかりか所外へ新たな被害を生む温床となる例が増えています。不正使用されたマシンの利用者は,攻撃があったことにすら気づかないことが多く,往々にして二次的な攻撃を受けたサイトからの指摘で気づくこととなります.管理不十分なドメインからの接続は認めてもらえなくなるという現実が間近に迫っています。  

この背景には、二つの要素があります。
1)個々のホストの対応が限界に達している
ワークステーション等は,出荷時には利用者の利便性を優先させてセキュリティの弱い状態で提供されることも珍しくない。
また、PC−UNIX 等の普及により、管理不充分で不要なサービスも稼働するホストが増え、セキュリティの穴になっている。
個々の管理者が十分な知識を持っているとは限らないうえに、これだけホストが増えると個々に目を配りきれないため、攻撃されやすいホストは増大する一方である。
2)攻撃手段が袋叩き的になりつつある
近年の攻撃は絨毯爆撃の様相を呈しており,全く無名なマシンでも攻撃の対象となる。次の例がある。
  ・ポートスキャン:個々のマシンでサービスしている内容をシラミ潰しに調べて,脆弱な入口を突破侵入する。
不要なホスト / ポートへのアクセスを閉じれば、この危険は大きく下がる。 
  ・盗聴:ネットワークを通過するパケットを盗聴して,
パスワード情報を盗みとる。
パケットを暗号化したり、WWW などパスワードを用いない情報提供手段をとることで、この危険は大きく下がる。
 
 折しも「不正アクセス行為禁止法」が今年 8月に成立しました。不正アクセス行為の禁止、処罰とともに、アクセス管理者による防御措置努力が求められています。  

 ネットワークは誰もが入って来られる公道になりつつあります。社会的要請として、公道に面するドアにはきちんと鍵をかけねばなりませんが、個々の家で完璧に行うのはほぼ無理です。ファイヤーウォールはこの面倒な作業を入口で一括して行うものです。これまで宇宙研は、衛星運用系などについては厳しく外部からの侵入を防止してきましたが,その他に関しては個々の管理に委ねています。現状は、無防備な町で個々の家が自己防衛しているようなものですが、これを「入口に管理人がついたマンション」へ変更しようというわけです。個々のホストが自己防衛する場合に比べると,自分で防御すべき箇所が減るため,管理負荷を抑えることができます。

 ファイアウォールは SINET と所内 LAN との間に挟みます。この仕組みは大別すると2種類あります。  

1.パケット・フィルタリング
パケットのヘッダー情報(送信元、発信先、ポート番号など)によって通すか否かを決める。ユーザーへのインパクトは小さいが、“穴を開ける”やり方のためセキュリティ上は必ずしも望ましくない。
2.Proxy システム(ゲートウェイ・システム)
外部のホストと直接接続せずに、ファイアウォールの外側に置かれる Proxy (プロキシ:代理人の意味)を経由して通信する。この方法だと格段にセキュリティは向上するが、「プロキシできないサービスを利用できない。」、「Proxy 用のマシンの新規設定が必要。」
といった欠点がある。


まずは、スムーズに移行可能な前者による最低限のガード体制の確立を現実的目標と考えています。

 予算の関係で3月末には設定作業を行う必要があるため、以下のスケジュールを想定しています。

 12月ポリシー確定のための“アンケート” を配布
  1月 計算機委員会においてポリシーの確定
設定作業のための“外部向サービス登録” 受付開始
  2月業者との打ち合わせ
  3月導入作業


 12月 6 日現在、以下の原案を叩き台としたアンケートを所内の外部向けサービスホストの管理者に配布すべく準備中です。ご協力よろしくお願い致します。


**** 宇宙研ファイアウォールのポリシー(案) ****

0) 基本概念、

宇宙研として、
・所外からの攻撃に対する所内のネットワークの防御
・所内ホストを踏台にした所内外ホストに対する攻撃の防止
を達成する必要がある。
これに伴う各サブネットホストの管理負荷の軽減を目的として、ファイヤーウォールを導入する。

1) 接続方針
所内 → 所外:
 すべてのホストが、下記の主要ポートを使って通信できる。
所外 → 所内:
 外部向けサービスを行うホストのみに対して、下記の主要ポートのうち必要なポートのみを使って通信できる。 

## 主要ポート(案) ##
WWW(http:tcp/80),WWW(https:tcp/443),telnet(tcp/23),ftp(tcp/20,21),
mail(smtp:tcp/25),mail(pop3:tcp/110),news (nntp:tcp/119),
dns (tcp/53,udp/53),ssh(tcp/22),ident(tcp/113)
その他必要なものがあればご提案下さい。

2) 管理者への影響

管理負荷の軽減
 外部サービスをしないホストに対する外部からのアクセスが防止される。また、外部サービスするホストも、不要なポートへのアクセスが防止される。これによって、外部からの直接攻撃への危険度が著しく低下する。ただし、所内ホストが踏台にされると現状と同等になってしまうので、
 ・全ホストでの最低限の防備
 ・サービス実施ホストが侵入されても被害が拡大しにくい配慮
が併せて必要である。

Firewall へのサービス登録作業
 所外へサービスを提供するホストは、個々のマシン名( DNS または IP アドレス)とサービス (ポート番号)の組合せを登録する。
サービス実施ホストの義務
 以下の義務が生じる。
責任者と連絡先の明確化
外部アクセスに対する防備
 パスワード情報は、root 以外には見えない
 パスワードは,第三者に推測されない
 パスワード等は、暗号化 ( ssh )
 finger 等,利用者情報を参照するようなサービスは停止
 ソフトウェアのセキュリティ対策の実施
 OS のパッチ (修正,アップデート) は適宜適用
 inetd 等で提供するサービスの削減、アクセス制限、ログ取得
 WWW や DNS 等,対外的にサービスしているソフトにセキュリティ対策
 メールの機能はなるべく停止。使う場合には
  sendmail は新しい版を使用
 SPAM メール対策
  POP の代わりに APOP
 等が必要となる。
侵入されても被害が拡大しない配慮
 NIS/DNS を低防備ホストと共有しない
 低防備ホストへの rlogin 等による無条件 loginを禁止
ログの保持と管理
 「条件は守れないがサービスは継続したい」というユーザーには、PLAIN センターにおいて共有の WWW/ftp サーバー等の設置を検討している。
 暗号化ツール使用への移行(Firewall 導入に関わらず進めて頂きたい)
 ユーザーに暗号化ツールへの移行を促して欲しい。
具体的には、
telnet, rlogin ==> ssh, slogin
rch ==> ssh
rcp, ftp ==> scp
POP ==> APOP
に対し、なるべく短期の移行期間で代替手段に慣れてもらったのち移行を促していただきたい。

3)ユーザーへの影響
 [所内ユーザー](Firewall 導入に関わらず進めて頂きたい)
 原則影響なし。これまで通り、所内外のネットワーク資源を使用可能である。
 なるべく短期間のうちに ssh/APOP 等暗号化ツールへの移行を推奨する。

 [所外ユーザー](Firewall 導入に関わらず進めて頂きたい)
 サービスを要するホスト/ポートが登録されている場合には、原則影響なし。
 なるべく短期間のうちに ssh/APOP 等暗号化ツールへの移行を推奨する。

4)PLAIN センターとしてのサポート
 以下の補助サービスを検討している。
 ・セキュリティ関連の情報提供
 ・各利用者に対する,セキュリティ強化の推奨
 ・安全な外向け WWW/ftp 等共通サーバーの提供

5)予想されるFAQ

a. 新たに生じる
・外部サービスを行なう machine の新規設定
・外部サービスを行なう machine の IP or 名前の変更 の手続きは?

    --------------------------------------------------

[A] 登録票を追加提出。書式はホームページ上に出します。

b. アクセス制限は、IPを基礎とするのか、DNS を基礎とするのか

    --------------------------------------------------

[A]どちらも可能。

DNS で登録すれば、subnet で DNS を持つことにより、subnet 内で DNS を変更することにより登録変更無しでサービスホストの変更ができる。

c. NFS/NIS/MS-network 等、外部計算機からの直接アクセスを可能にする packet の所外への漏れ出しは?

   ----------------------------------------------------

[A]NFS/NIS/MS-Network(NetBIOS/Port 137-139) を排除するので、情報が漏れ出すことはなくなる。

d. 所外 host で動作するアプリケーションを学内 host の DISPLAY に出力できるか?

   ----------------------------------------------------

[A}ポートは、6000-6063/tcp, 6000-6063/udp。

X-Windowの場合,所内Xサーバ上で所外アプリケーションを利用する場合が,所外から所内へのアクセスとなる.感覚と逆なので注意。
開ける必要があるなら登録すべきだが、sshを用いればXクライアントの転送も可能である。
この場合少し転送時間が速く得ということである。

e. subnet/host で従来どおり独自に管理したいが?

   ----------------------------------------------------

[A}能力のあるsubnet/hostでは、独自の安全確保を進めてもらって構わない。

・技術があるところはゆるめに制限し、自治に任す。
・技術のないところはきつめに一律防御 が基本原則である。

**** アンケート(案) ****

Q1 所外に対してサービスする必要のあるマシンがありますか.(具体的なサービス内容は,「接続方針」の主要ポート(案)を御覧下さい.その他にも必要とするサービスがありましたら,適宜御記入下さい)
A1.1 いいえ
→Q4.へお進み下さい.所外からのアクセスの必要のないマシンに対しては,ファイアウォールが所外からの全ての直接侵入を防ぎます.
A1.2 はい.
Q2.以下にもお答え下さい.

Q2 御担当のマシンを,ファイアウォールの保護下に入れることを希望しますか.なお,回答に際しては,下記の[参考]の文を御一読下さい.
A2.1 今回の「宇宙研ファイアウォールのポリシー(案)」の接続方針に則って,ファイアウォールの保護 下に入れることを希望する.
A2.2 ファイアウォールの保護下に入れることを希望するが,同時に「宇宙研ファイアウォールのポリシー(案)」の接続方針の一部修正を希望する.
  具体的な修正希望箇所[__________]
A2.3 外部からの攻撃に対しては十分な自衛策を講じているため,ファイアウォールの保護を受けない(直接外部に晒される)ことを希望する.
A2.4. 外部からの攻撃に対する自衛策を講じることはできないが,ファイアウォールの保護を受けないことを希望する.理由は以下の通りである.
  具体的な理由[__________]

Q3 所外に対して必要なサービス(種別,台数)を御記入下さい.サービスの数が増えると,相対的に所外との通信速度が低下しますので,実際に必要なサービスのみを御記入下さい.
ファイアウォールの保護下に入らないことを希望される場合は,そのマシンの台数もしくはサブネットの本数を併せて御記入下さい.

  WWW(http:tcp/80)[__________]
  etc...


Q4 telnet, ftp, pop 等のサービスの暗号化ツールの使用(盗聴対策)にはどの程度の時間が必要と思われますか.(この質問は,サービスを行なっているマシン,サービスを受けているマシンの双方で御回答下さい)
Q4.1 POP について  対策例: サーバ側では APOP 対応の POP サーバを導入する.
 または,POP ユーザはそのマシンに login できないようにする.
 利用者側では,APOP対応のメールソフトを使用する.
A4.1.1 POP 自体を使用していない.
A4.1.2 既に APOP を使用している.
A4.1.3 POP を利用するユーザは,マシンに login 等できないようになっている.
A4.1.4 対策は数カ月の内に実施できる.
A4.1.5 対策は時間をかければ可能である.
A4.1.6 対策は困難である.
  具体的な理由[__________]
A4.1.7 よくわからない.

Q4.2 telnet, ftp, rsh, rlogin 等について
 対策例: サーバ側では ssh を導入して通信を暗号化する.
 または,盗聴しただけではパスワードを察知されないような認証方法を利用する.
 利用者側では,ssh 対応の端末ソフト等を使用する.
 またはサーバ側で用意された盗聴防止の認証方法に対応したソフトを使用する.
A4.2.1 所外からのアクセスに telnet, ftp, rsh, rlogin 等は使用していない.
A4.2.2 既に所外からのアクセスに はssh 等で対策を行なっている.
A4.2.3 対策は数カ月の内に実施できる.
A4.2.4 対策は時間をかければ可能である.
A4.2.5 対策は困難である.
  具体的な理由[__________]
A4.2.6 よくわからない.
        
[参考]所外に対するサービスに関しては,「サービス実施ホストの義務」に掲げられたような自衛策をと る必要があります.具体的には,

  ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/UNIX_configuration_guidelines
  ftp://ftp.jpcert.or.jp/pub/cert/tech_tips/AUSCERT_checklist1.1

のようなガイドラインが示されており,また,個々のサービスに関する防衛策としては,
  ftp://ftp.jpcert.or.jp/pub/cert/cert_advisories/
にあるような一連のセキュリティ対策が必要となります.ファイアウォールの保護下に入らない場合は,ここに掲げられたようなセキュリティホールが全て所外からの攻撃の対象となりえます.
(三浦 昭、笠羽 康正)


先頭へ


 

平成11年度宇宙科学企画情報解析センターシンポジウム

「ハイパフォーマンスコンピューティングの現状と展望」

 開催のお知らせ

 宇宙科学研究所では平成 11年度から新スーパーコンピュータ VPP800/12 が導入され、運用が開始されました。VPP800/12 は現在まで順調に稼動し多数の利用がなされています。昨年は国内メーカー各社から最新のスーパーコンピューターが発表され、各地の大学計算機センター等でも各社の新鋭機が稼動を始めています。これら国内メーカーの計算機は単体のプロセッサで高速な演算を出すベクトルプロセッサによって高い性能を達成していますが、世界的には多数のプロセッサを非常に沢山並べて並列計算をすることによって同等以の性能を得る並列計算機の時代へ移行しつつあります。国内では最新のベクトル並列計算機が利用できるようになりだしたばかりですが、こうした 列/超並列計算の動向からは目が離せません。今回のシンポジウムでは大規模計算の現状と展望を技術的な側面や宇宙科学への応用と言った観点から議論していただきたいと思いますが、今後の主流になると思われる並列/超並列計算に関連した講演や、宇宙研の VPP800/12 を含む新鋭スーパーコンピューターの利用例の紹介などを特にお願いしたいと考えています。並列計算プログラミングに関連したチュートリアル講演なども予定しております。

日時: 平成 12 年 1 月20日(木)
午前 10 時から午後5時
場所: 相模原市民博物館会議室(予定)
なお、参加申し込み締め切りは、平成12年1月10日(月)とさせて頂きます。ふるってご参加ください。

( 篠原 育)


先頭へ


 

大型計算機に関するお知らせ

I. 12月・1月保守作業予定


M:保守作業
(1)VPP800/12 の12月20日(月)に予定していた定期保守作業は中止にして、12月29日(水)の9:00からの集中保守作業の中で行います。尚 12/28 9:00 SIMPLEX モード、18:00 キュー停止になります。
(2)Alpha サーバは1月17日(月)9:00〜13:00に予定通り保守作業を行います。保守作業前に特に入力制限は行いませんので、各自で作業時間前までに終了する様入力してください。
(3)各計算機のシステム及びユーザ領域バックアップ( 2000年前状態保存 )を採取します。


II. 大型計算機の年末・年始の運転スケジュール


M:保守作業
(1)12月29日(水)22:00 から 1月4日(火)9:00の間の連続運転中はセンターオペレータが不在のため、システムダウンがあった場合、1月4日9:00まで対応が出来ません。
(2)注意 大型計算機関係の各サブステーション・オープンステーションは 12月28日(火)17:00でクローズします。


III. 計算機登録予算の移算締切りについて

 前年度と同様、今年度も下記日時で計算機登録予算の移算処理を締め切らせていただきます。

  締切日 平成11年12月24日(金) 15:00

 尚、上記日時以後も予算追加は出来ますが、その追加予算は翌年度移算となりますので、配当が確実なものに限って下さい。

(関口 豊)


先頭へ


編集発行:文部省宇宙科学研究所
宇宙科学企画情報解析センター
〒229-8510 神奈川県相模原市由野台 3 -1-1 (Tel 0427-59-8351,8352,8353)