第76号 2000年2月18日発行
目次
先頭へ
相模原 LAN への Firewall 導入について
報道で御存知のことと思いますが、一連のクラッキング騒ぎの渦中で相模原 LAN も被害を受けました。ただ、御注意いただきたいのは、従来からクラッキング被害は出ているということです。PLAIN センターで把握可能な範囲、かつ今年に入ってからだけでも以下のようになります。
基本的に、PLAINセンター単独で防御を行うことは不可能です。攻撃を受けている兆候を発見された方は、速やかに PLAIN センター(代表:fw@pub.isas.ac.jp)及び ISAS 内 LAN 管理者 ML(netadm@mx.eng.isas.ac.jp)まで連絡し、被害の波及防止を図っていただけますようお願い致します。
PLAINセンターでは、上記状況を踏まえてファイアウォールの導入作業を前倒しで行いつつあります。導入後は、所外→所内のアクセスは一定ルート以外防御されるようになります。ただし、所外に多くのユーザーを有する共同利用研としての事情から、当初の防御設定は不十分です。今後の安全性の向上は各公開ホストの設定にかかっています。関係各位の御協力をお願い致します。
導入が完了すると、所外から利用するサーバー(WWW, telnet, ftp, Mailなど)をお持ちの方は、登録を行わないと所外からアクセスできなくなりますので御注意ください。また、登録が適切に行われている限り当面ユーザーへの影響は出ない予定とは言え、混乱を避けるため所外利用者への通知をお願い致します。何かございましたら担当者(fw@pub.isas.ac.jp) まで速やかに御連絡ください。
#### Firewall関係情報一覧: http://www.pub.isas.ac.jp/security/firewall [所内限定公開] ####
1. 導入スケジュール
1999.12 ファイアウォール設定ポリシー案の提案
2000. 1 ファイアウォール設定ポリシー案の 決定
2000. 2 所外公開ホスト登録の開始
[3月末] 公開ホストが適切に登録されていれば、所内外ホストの設定変更はまだ不要。
(現状と同じ利用は当面可能。)
[将来] Firewall設定を安全サイドへ次第に最適化。
(このため、各公開ホスト及び所外ユーザーの設定変更を要請。)
2. 公開ホストの登録のお願い
相模原⇔所外のアクセスには以下のような制限がかかります。
(設定ポリシー http://www.pub.isas.ac.jp/security/firewall/txt/policy.txt 参照)
[所内->所外] 全ホストからの必要ポートのアクセス可能。不要ポートのアクセスは停止。
==> 所外ホストの利用"と"情報漏洩の防止"を両立。
[所外->所内] 登録ホスト&ポートへのアクセスのみ可能。これ以外は停止。
==> 侵入可能な経路を削減。
外部からのアクセスを要するホスト(WWW, telnet, ftp, Mailなど)は登録が必要となります。大部分の公開ホストは網羅済みですが、個人的な要請で設けているものに関しては抜けがある恐れがあります。
必要な方は、登録ホスト一覧[http://www.pub.isas.ac.jp/security/firewall/firewall.htm ]をご参照の上御連絡ください。
手続きは、登録用紙(http://www.pub.isas.ac.jp/security/firewall/txt/register.txt )を御使用の上、電子メール(fw@pub.isas.ac.jp)もしくは文書(PLAIN センター:笠羽宛)で御連絡ください。
2/16現在登録されているのは、33部門、137ホスト、371ポートです。
[登録の更新頻度(予定):定期更新:半年に一度 臨時更新:一月に一度 緊急更新:随時]
3. ファイアウォール導入に伴う相模原LANの変更について ・(検討中)
下記ホストの防御を行うには、以下の設定変更が必要です。
実施は現在検討中ですが、関係ホストを御使用の方はご注意ください。
また、KSC―相模原間の一般通信は SINET を経由するため、KSC は当面所外扱いとならざるを得ませんが、当面必要なアクセスは維持します。長期的には、この間の通信を自動暗号化するとともに、相模原所内以外からの KSC へのアクセスを停止する方向で検討を進めています。
4. 公開ホストの安全性確保のお願い
Firewall は攻撃経路の限定はできます。しかし、公開された経路を通る攻撃には無力です。また所内ホストからの攻撃には対処不能なので、弱い公開ホストが存在すると意義を失います。
公開ホストを管理される方は、下記の項目及び資料を参照の上、各ホストの安全性向上を要請します。非公開ホストもなるべくこれに準じていただくようお願い致します。
実際の対策実施にはそれなりの知識とそれなりの負荷が避けられませんが、対策無しホストの公開を長期的に容認することはできませんので、早急に管理体制の整備をお願い致します。
##### 以下は対策の基本です。 #####
三大侵入パターン 「セキュリティホール」 「パスワード漏洩」 「弱いホスト経由裏口から」
三大防御原則 「アクセス経路の守備」 「パスワードの防衛」 「侵入の波及防止」
(設定ガイドライン案 http://www.pub.isas.ac.jp/security/firewall/txt/unix.txt)
(チェックリスト http://www.pub.isas.ac.jp/security/firewall/txt/register.txt)
(三浦 昭、長木 明成、笠羽 康正)
先頭へ
平成11年度 PLAIN センターシンポジウム報告
平成11年度の PLAIN センターシンポジウム「ハイパフォーマンスコンピューティングの現状と展望」は平成12年1月20日(木)に相模原市立博物館において開催されました。昨年頃から宇宙研をはじめとした各地の大学計算機センター等で新世代のスーパーコンピューターが稼動を始めましたが、日本で現在主流のベクトル並列タイプのスーパーコンピューターはこれが最後で、非常に多くのプロセッサを様々な規模で連携させて大規模な計算を速く行う、超並列計算機が今後の主流になると言われています。国内のスパコンユーザーのほとんどはベクトル並列計算の経験はあるものの超並列計算機を実際の研究に用いている研究者はまだまだ少ないと思われますが、今回のシンポジウムは超並列計算の問題点や期待・不安についての良い情報交換の場となりました。最新の並列計算の技術の動向に関連して、並列計算の基礎概念のチュートリアル、並列プログラミングのフレームワーク、実際に並列計算を用いた研究例、並列計算のパフォーマンス、大規模並列計算機の将来計画等に関して11人の先生方からご講演をいただきました。超並列計算は、並列計算用のプログラム開発の困難さとそれを克服するコンパイラー技術の必要性、大規模並列計算機の計算結果の解析に対する問題点、等、まだまだ普通の研究者が気軽に利用できる段階ではないようですが、技術は着実に進歩しているようです。一方、これまでベクトル計算機で培って来た経験を無駄にしたくない、という素直な意見も多く聞かれました。ある先生が「要するにスパコンの計算の高速化というのは流体計算の為にあるのだね。」という感想をシンポジウム後にもらしておられましたが、超並列計算の動きは流体力学以外の様々な大規模計算のアプリケーションの台頭も生んでいるようです。ベクトル並列と超並列計算の優劣ではなく、むしろ様々な問題に対する高速計算の選択肢が増えたのだ、と考えるべきなのかもしれません。最後になりましたが、年度末のお忙しい中にご講演を快諾していただいた先生方にお礼を申し上げます。なお、今回のシンポジウムも例年通り講演集を出版する予定です。
(篠原 育)
先頭へ
スーパーコンピュータ周辺機器(グラフィックサーバー、ファイルサーバー)稼動開始のお知らせ
昨年の新スーパーコンピューターVPP800/12の導入に関連して、スーパーコンピューターと連携して利用するグラフィックサーバーとファイルサーバーが試験運転を開始しました。グラフィックサーバーは VPP800 で計算された結果を可視化する為に利用することを目的として導入されたもので、SGI 社の Onyx2 という計算機です。宇宙研に導入された計算機は CPU を R12000 (300MHz) を4機、主記憶を 8 GB 備えています。この計算機は非常に高速なグラフィック機能が特徴です。グラフィックパイプは 2 個あり、その高速な可視化性能を 2 箇所で同時に利用できます。端末の 1 台はA棟のサブステーション室に置かれ、スパコンユーザーであれば誰でも利用することができるようになっています。(但し、原則としてデータの可視化等、グラフィック用途以外の目的での計算は控えていただきます。) Onyx2 にはファイルサーバーとしての役割も割り振られており、約 1 TB の磁気ディスク装置と約 10 TB の DLT7000 のテープライブラリー装置がぶらさがります。これらのディスク群は 1000 Base のネットワークインターフェースを介して VPP800 に NFS マウントされます。テープライブラリーはマイグレーションシステムとして運用され、ユーザーはテープを意識することなくフロントエンドの 1 TB のディスクに通常のファイルの読み書きを行うことで利用ができます。近日中にこれらの周辺機器の利用者説明会を開く予定ですので、詳細が決定した段階で別途お知らせいたします。
(篠原 育)
先頭へ
大型計算機に関するお知らせ
1.2月・3月の計算機保守作業予定
2月・3月の定期保守作業及び年度末処理は下記の通り予定しております。尚3月のVPP800の保守は年度末処理で一括して保守作業が予定されているので中止します。
2.大型計算機年度末処理について
毎年行われている年度末処理を今年は、3月30日(木)・31日(金)に予定しておりますのでよろしくお願いします。詳細スケジュール、内容については3月号でお知らせします。
3.ス−パコンのVPP800は年度末処理に続けてソフトウェアのバージョンアップのため 4月 1日(土)も運休します。作業の詳細については 3月号ニュースでお知らせします。
M:システムメンテナンス
4.課題更新手続きについて
現在利用されている課題の有効期限は、3月31日迄となっておりますので、次年度も引き続き利用される課題の更新手続きは、3月17日(金)迄にお願いします。課題申請用紙は 3月 3日(金)にお送りします。
(関口 豊)
先頭へ
- 編集発行:文部省宇宙科学研究所
- 宇宙科学企画情報解析センター
-
〒229-8510 神奈川県相模原市由野台 3 -1-1 (Tel 0427-59-8351,8352,8353)