Schutz des HPC-Accounts
Quelle: Freepik
Mindestens ein knappes Dutzend der Supercomputer in Europa wurden im Mai 2020 gleichzeitig vom Netz genommen. Mehrere Hochschulzentren in Europa sind von Hackern angegriffen worden und mussten offline gehen. Die unbekannten Täter haben die Konten der Nutzenden gehackt, um sich so Zugriff auf die Supercomputer zu verschaffen. Unser Hochleistungsrechner war zum Glück nicht betroffen, doch beispielsweise JURECA, JUWELS und JUDAC des Jülicher Supercomputing Centre, Hawk am Stuttgarter Höchleistungsrechenzentrum oder auch die Supercomputer des Leibziger-Rechenzentrums (LRZ) sind dem Angriff zum Opfer gefallen.
Wie sahen die Angriffe aus?
Die Forschenden verbinden sich nicht direkt mit dem Supercomputer vor Ort, sondern nutzen dafür Onlinezugänge über das gesicherte VPN-Netz der Universitäten. An der RWTH geschah der Log-In bis Ende 2022 mit dem jeweiligen HPC-Account, dem dazugehörigen Passwort sowie einem freiwilligen sogenannten SSH-Schlüssel (Security-Shell-Schlüssel). Die Hacker kombinierten bei ihren Angriffen zwei Schwachstellen, teilte das LRZ mit. Sie bedienten sich an kompromittierten Accounts von Nutzenden auf externen Systemen, deren SSH-Schlüssel mit leeren Passphrasen konfiguriert waren. Außerdem berichtete das LRZ, dass ein Fehler in der Software dazu führte, dass die Hacker Administrationsrechte nutzen konnten. [0]
Zwei-Faktor-Authentifizierung am IT Center
Vor dem Hintergrund dieser Angriffe und regelmäßiger Phishing-Vorfälle wird der Zugriff auf unsere HPC-Systeme zukünftig durch die Zwei-Faktor-Authentifizierung (2FA) vor Missbrauch durch Dritte geschützt. Insbesondere im Hinblick auf den Schutz eurer Forschungsdaten, empfehlen wir euch die MFA zu nutzen.
Derzeit befinden wir uns noch in einer Pilotphase und die Zwei-Faktor-Authentifizierung ist lediglich auf dem Knoten login18-4.hpc.itc.rwth-aachen.de aktiviert. Für die breite Sicherheit planen wir aber in den kommenden Monaten die Aufweitung auf weitere Knoten. Das Einloggen auf andere Knoten bleibt zunächst ohne zweiten Faktor möglich.
Doch was ist Zwei-Faktor-Authentifizierung eigentlich?
Das Thema 2FA wird euch wahrscheinlich schon bekannt vorkommen. Multifaktor-Authentifizierung (MFA) ist die Kombination von mindestens zwei Faktoren, die idealerweise aus verschiedenen Typen bestehen. Mit diesem Datenpaar authentifizieren wir uns auf verschiedenen Webseiten. Eine ausführliche Erklärung mit Hintergrundwissen findet ihr in unserem Blogbeitrag zur RegApp.
Umsetzung der Zwei-Faktor-Authentifizierung in der RegApp
Ihr könnt euch für die Zwei-Faktor-Authentifizierung entscheiden, indem ihr einen zweiten Faktor in Form eines Authentifizierungstokens zu eurem RegApp-Konto hinzufügt. Die Voraussetzung ist natürlich ein aktiver HPC-Account. Auswählen könnt ihr zwischen zwei Token-Varianten. Smartphone Token oder eine TAN Liste. Für die Nutzung der Smartphone Token benötigt ihr eine passende App gemäß RFC 6238 wie beispielsweise Google Authenticator, Microsoft Authenticator, FreeOTP oder Sophos Authenticator. Die TAN Liste dient als Backup, falls ihr keinen Zugriff mehr auf eure anderen Tokens habt. Eine genaue Anleitung zur Einrichtung und Nutzung der Multifaktor-Authentifizierung findet ihr auf IT Center Help.
Habt ihr die MFA aktiviert, werdet ihr bei jedem Anmeldeversuch nach dem zweiten Faktor gefragt. Wenn ihr die ständige Eingabe vermeiden wollt, könnt ihr ein SSH-Schlüsselpaar anlegen und es mit eurem Konto verbinden. Sofern der private Schlüssel auf eurem privaten Rechner liegt, müsst ihr den weiten Faktor nur alle 10 Stunden angeben.
Eine Step-by-Step Anleitung zur Nutzung der Multifaktor-Authentifizierung auf CLAIX haben wir euch auf IT Center Help zusammengestellt.
Was sind SSH-Keys?
Die Secure Shell (SSH) ermöglicht den verschlüsselten Zugang zur Kommandozeile auf HPC-Systeme sowie den verschlüsselten Datentransfer. Die Authentifizierung kann über Schlüsselpaare anstelle der Eingabe eines Passwortes erfolgen. Die SSH-Schlüsselpaare bestehen aus einen Private-Key (privater Schlüssel) und einem Public-Key (öffentlicher Schlüssel). Der öffentliche Schlüssel wird auf dem HPC-System hinterlegt und der private Key liegt auf dem Computer der Nutzenden.
Den privaten Schlüssel gilt es besonders zu schützen:
- Er darf nicht in fremde Hände gelangen. Wer in den Besitz des privaten Schlüssels kommt, hat auch Zugang zum HPC-System.
- Aufgrund dessen empfehlen wir euch, den SSH-Key mit einer Passphrase zu sichern. Die Passphrase wird bei Erzeugung des Schlüsselpaares eingegeben. Auszuwählen ist sie wie eine Art Passwort.
- Es ist sinnvoll, für jedes HPC-System ein separates Schlüsselpaar zu erzeugen.
- Es sollen Schlüssel mit möglichst vielen Bits erstellt werden.
Wie ihr einen SSH key in euren HPC Account integriert erfahrt ihr auf IT Center Help.
Um den Schutz eures HPC-Accounts sowie eurer Forschungsdaten zu verstärken, macht es also durchaus Sinn, die Zwei-Faktor-Authentifizierung zu nutzen und sich auch mit den Sicherheitshinweisen der SSH-Keys auseinander zu setzen. So können wir gemeinsam unser HPC-System noch sicherer machen.
Weitere Anleitung rund um die Multifaktor-Authentifizierung und die RegApp haben wir euch auf IT Center Help zusammengestellt.
Quellen:
Verantwortlich für die Inhalte dieses Beitrags sind Tim Cramer, Simon Schwitanski und Janin Vreydal.
