前号へ 次号へ 宇宙科学企画情報解析センター ISASホームページ バックナンバー

第78号 2000年4月14日発行

目次


先頭へ

 

センター長交代のご挨拶

 本年3月末をもって、任期満了によりセンター長を退任しました。後任は長瀬文昭教授です。これまでの皆様から寄せられたご支援・ご協力に感謝しますとともに、当センターの更なる発展を期待します。」

(向井 利典)

 「企画情報解析センター( PLAIN センター)は平成5年に設立されましたが、以来初代センター長の中谷一郎先生、前センター長の向井利典先生の御努力で次第に整備され、充実してまいりました。この度この PLAIN センターのセンター長を受け継ぐよう所長より拝命をうけました長瀬です。大変未熟者ですが、中谷先生により開発が始められ向井先生により発展された DARTS システムのさらなる充実・発展を始め、PLAIN センターに課せられた任務を精一杯受け継ぐ覚悟でございます。皆様には今後とも暖かいご支援・御協力をいただきますとともに、せいぜい PLAIN センター/DARTS システムを御利用いただきますよう、お願い申し上げます。 なお、本センターニュースの編集委員長は今年度より橋本正之先生に引き継いでいただくことといたしました。今後ともご愛読いただくようお願いします。 」

(長瀬 文昭)


先頭へ

 

相模原 LAN への Firewall 導入について(その2)

 3月13日(月)・27日(月)の二段階に分け、宇宙研・相模原 LAN と SINET 間に Firewall を導入しました。現時点までのところ、特に大きなトラブルはないようです。概要は PLAIN センターニュース 76 号(2000 年 2 月発行:http://www.isas.ac.jp/docs/PLAINnews/PLAINno76/PLAINno76.html#mark1)で既報の通りですが、アナウンスを繰り返させて頂きます。なお、関連情報は下記へ集約されています。

### http://www.pub.isas.ac.jp/security/firewall/ (所内のみ閲覧可) ###

I. 「相模原所内⇔所外」のアクセス制限

現在、相模原⇔所外のアクセスには以下のような制限がかかっています。

1.所外から所内へ:登録されたサーバーへのみ可能、それ以外は停止されます。

接続できない場合には登録漏れの可能性がありますので、所内サーバー管理者の注意を喚起してください。また、traceroute や ping などによる相模原 LAN 内の探索を停止予定です。

2.所内から所外へ:所外全ホストに以下のポートでアクセス可能です。



II. 所内・所外ユーザーへのお願い


1.通信状況の確認のお願い

 Firewall のログには、登録されていないため拒否されたアクセスがかなり出ています。これは、「WWWが見えない」「Mail が届かない」などのトラブルを示唆するものです。気づかれた方は、所内サーバー管理者の注意を喚起するか、fw@pub.isas.ac.jp までお知らせください。


2.通信路防衛のお願い:以下の点に関し、御協力お願い致します。


(1)パスワードの防衛

・ パスワードを盗まれないようにする(類推しにくいものにする、紙に書かない、など)。

・ 一定期間ごとに更新する。

・ 相模原所外ホストとパスワードを共有しない。

・ 複数の人間でアカウントを共有しない

・ あまり使わないアカウントは、サーバー管理者に‘削除’ か‘機能限定’ を依頼する。


(2) 通信経路の暗号化  [詳しい方法は、所内サーバー管理者にお尋ねください。]

・ ログインやデータ転送で、 telnet、rlogin、rcp、rsh、ftp の使用は避ける。代わりに、ssh を用いる。

・ メール読む際、POP や imap の使用は避ける。代わりに、APOP を使うか、sshで暗号化する。

・ リモートホストのXツールの利用は避ける。必要な場合は、ssh で暗号化する。


III. 所内サーバー管理者へのお願い (再掲)

 Firewall は攻撃経路の限定を行うのみです。登録された経路を通る攻撃には無力ですし、所内ホストからの攻撃には対処不能です。登録された所内サーバーを管理される方は、下記の項目及び資料を参照の上、各ホストの安全性向上を要請します。また、非登録ホストもこれに準じていただく様お願いします。

 また、3月30日現在登録されているのは39部門、158ホスト、431ポートです。“現在使われているサービスは止めない”方針で当初設定を行ったため、当面膨大な数です。半年〜一年程度の移行期間の間に、速やかに最適化と絞込みをお願い致します。必要なもののみ残してください。


########## 基本原則 ##########


三大侵入パターン

  「セキュリティホール」

 「パスワード漏洩」

 「弱いホスト経由裏口から」
三大防御原則  「アクセス経路の守備」 「パスワードの防衛」  「侵入の波及防止」




また、所内向けには以下の情報を用意しています。

チェックリスト
http://www.pub.isas.ac.jp/security/firewall/txt/register.txt

設定ガイドライン案
http://www.pub.isas.ac.jp/security/firewall/txt/unix.txt

設定作業例
http://www.pub.isas.ac.jp/security/firewall/txt/example.txt


IV. 今後の予定 (検討中)

今後は以下の実施を検討しております。

1.相模原 LAN 内部の接続変更
 一部 Firewall の外側に出ているホストがあるため、繋ぎ替えを要する。近日中に実施予定です。

2.アクセス監視手段の導入
 ファイアウォールに監視システムを導入することを検討中です。
具体的には、大規模アタックへの対応、不審なアクセスの検知、ウイルス混入の自動監視など。

3.相模原- KSC 間通信路の安全確保
 上記回線を暗号化するとともに、KSC への所外からの直接アクセスを停止する予定です。

4.登録サーバーの防御
 Proxy サーバーの導入などにより、登録されたサーバーの防御力向上を図る予定です。

5.サーバー管理者への情報提供
 Firewall のログ公開サーバーや、セキュリティホール調査サーバーの設置を検討中です。


V. 最後に

 私は、昨秋まで某大学の研究室 LAN の管理者として、Firewall導入を巡り計算センターと戦いを繰り広げていました。おかげで、宇宙研に来るなり逆の立場にされてしまったわけですが、とりあえず第一段階を順調に終えることができ、ほっとしております。

 ただし、現状は「相対的に安全になった」だけです。ローカルに行った調査では、「大抵のサーバーがセキュリティホールを抱え、その気になればすぐ潰せる」という笑えない状況でした。宇宙研の場合、所外の利用者や研究室にも対策を施して頂かないと実効が上がらない、という面もあります。結局は各サーバー、各研究グループの努力次第ということです。漸進主義でいかざるを得ないでしょう。

 私が生息する衛星管制棟(B棟)では、「衛星運用担当者はバッジを付ける」といったことも始まりました。一部で囁かれてきた「世界一出入りのオープンな宇宙機関」としてのISAS の勇名(?)が曇っていくのは残念でもあるのですが。

(三浦 昭、長木 明成、笠羽 康正)


先頭へ

 

PLAINセンター運営委員会報告

 3月24日、 PLAIN センター運営委員会が開かれました。この委員会は、宇宙研内外の有識者の先生方に当センターの1年間の活動を報告するとともに今後の活動方針を審議していただくことを目的として、毎年3月に開かれています。当センターの活動内容は、共同利用、計算機リプレース、DARTS、EDISON、宇宙科学データ解析研究バーチャルセンター構想、ネットワーク、シンポジウムなど多岐にわたりますが、毎回貴重なご意見と提案をいただき、大変有意義な委員会になっています。ネットワークについては、Firewall 導入経過や対 NASA との ATM 接続など、所内外の皆さんのご支援、特に、学情センター・SINET のご支援のおかげで進んできました。また、バーチャルセンター構想も、JST の「計算科学技術活用型特定研究開発推進事業」に採択されて以来、着実に成果が出ていることが実感されました。ただ、この資金は年限付きなので、その後の人員体制を含む将来体制を策定する事が大きな課題です。本運営委員会でも貴重なご意見を頂きましたが、このデータ解析研究センター構想は、単に当センターだけの問題ではなく、将来の宇宙科学の推進にとっても重要な柱となるものと考えられています。広く皆様のご意見を統合して、具体的なものにしていく必要がありますので、よろしくお願い申し上げます。

(向井 利典)


先頭へ

 

大型計算機に関するお知らせ

I.大型計算機の4月・5月の保守作業予定

 Alpha サーバは,4月17日(月)8:00〜13:00に定期保守を行ないます.保守作業前に特に入力制限は行ないませんので,各自で作業時間前までに終了するよう入力してください。

 VPP800/12 はファイルシステム更新のため,4月23日(日),24日(月),および 5 月7日(日),8日(月)に終日保守作業を行ないます。

 GS8300/10N は,5月15日(月)8:00〜13:00に定期保守を行ないます。


II.大型計算機4月・5月連休の運転予定




自動:自動運転.連続:連続運転.
その他の UNIX 系サーバは,連休期間中も連続運転を行ないます。


III.システム・プログラムの相談窓口について

 システム・プログラムの相談窓口は、前年度も何回かお知らせしたとおり、原則としてSE高橋氏(内線8391)が受け、相談内容の切りわけにより各担当者が対応しますのでご協力お願いします。


IV.大型計算機の登録予算及び端末台数の確認について  

 大型計算機の課題登録・更新処理にご協力いただき大変ありがとうございました。おかげさまで年度末処理も無事実行できました。  

 平成11年度の各研究室の使用料金と年度末収支報告と共に、平成12年度の大型計算機登録予算及び端末台数の確認書(返送用)を同封しましたので、必要事項をご記入の上 4月 20日(木)までにシステム管理・三浦宛(A棟2F庶務ポスト:7B大型計算機)にご返送ください。

 また記入上不明な点がございましたら三浦(内線8386)にご連絡ください。

(三浦 昭)


先頭へ

編集発行:文部省宇宙科学研究所
宇宙科学企画情報解析センター
〒229-8510 神奈川県相模原市由野台 3 -1-1 (Tel 0427-59-8352)