{"id":13849,"date":"2023-01-27T11:00:32","date_gmt":"2023-01-27T10:00:32","guid":{"rendered":"https:\/\/blog.rwth-aachen.de\/itc\/?p=13849"},"modified":"2024-01-05T09:02:01","modified_gmt":"2024-01-05T08:02:01","slug":"2fa","status":"publish","type":"post","link":"https:\/\/blog.rwth-aachen.de\/itc\/2023\/01\/27\/2fa\/","title":{"rendered":"Schutz des HPC-Account mit MFA"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_13849 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_13849')){$('.twoclick_social_bookmarks_post_13849').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blog.rwth-aachen.de\\\/itc\\\/2023\\\/01\\\/27\\\/2fa\\\/\",\"post_id\":13849,\"post_title_referrer_track\":\"Schutz+des+HPC-Account+mit+MFA\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div><p><div id=\"attachment_13850\" style=\"width: 310px\" class=\"wp-caption alignright\"><a href=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/01\/ODHMJQ0.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-13850\" class=\"wp-image-13850 size-medium\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/01\/ODHMJQ0-300x300.jpg\" alt=\"Dieb, der versucht Informationen aus Ger\u00e4ten zu stehlen\" width=\"300\" height=\"300\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/01\/ODHMJQ0-300x300.jpg 300w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/01\/ODHMJQ0-1024x1024.jpg 1024w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/01\/ODHMJQ0-150x150.jpg 150w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/01\/ODHMJQ0-768x768.jpg 768w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/01\/ODHMJQ0-50x50.jpg 50w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/01\/ODHMJQ0.jpg 1300w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><\/a><p id=\"caption-attachment-13850\" class=\"wp-caption-text\">Schutz des HPC-Accounts <br \/>Quelle: <a href=\"https:\/\/de.freepik.com\/vektoren-kostenlos\/dieb-die-informationen-aus-de-geraete-zu-stehlen_939988.htm\">Freepik<\/a><\/p><\/div><\/p>\n<p>Mindestens ein knappes Dutzend der Supercomputer in Europa wurden im Mai 2020 gleichzeitig vom Netz genommen. Mehrere Hochschulzentren in Europa sind von Hackern angegriffen worden und mussten offline gehen. Die unbekannten T\u00e4ter haben die Konten der Nutzenden gehackt, um sich so Zugriff auf die Supercomputer zu verschaffen. Unser Hochleistungsrechner war zum Gl\u00fcck nicht betroffen, doch beispielsweise JURECA, JUWELS und JUDAC des J\u00fclicher Supercomputing Centre, Hawk am Stuttgarter H\u00f6chleistungsrechenzentrum oder auch die Supercomputer des Leibziger-Rechenzentrums (LRZ) sind dem Angriff zum Opfer gefallen.<\/p>\n<p><!--more--><\/p>\n<h3><\/h3>\n<h3><span style=\"color: #00549f;\"><strong>Wie sahen die Angriffe aus?<\/strong><\/span><\/h3>\n<p>Die Forschenden verbinden sich nicht direkt mit dem Supercomputer vor Ort, sondern nutzen daf\u00fcr Onlinezug\u00e4nge \u00fcber das gesicherte VPN-Netz der Universit\u00e4ten. An der RWTH geschah der Log-In bis Ende 2022 mit dem jeweiligen HPC-Account, dem dazugeh\u00f6rigen Passwort sowie einem freiwilligen sogenannten SSH-Schl\u00fcssel (Security-Shell-Schl\u00fcssel). Die Hacker kombinierten bei ihren Angriffen zwei Schwachstellen, teilte das LRZ mit. Sie bedienten sich an kompromittierten Accounts von Nutzenden auf externen Systemen, deren SSH-Schl\u00fcssel mit leeren Passphrasen konfiguriert waren. Au\u00dferdem berichtete das LRZ, dass ein Fehler in der Software dazu f\u00fchrte, dass die Hacker Administrationsrechte nutzen konnten. [0]<\/p>\n<h3><span style=\"color: #00549f;\"><strong>Zwei-Faktor-Authentifizierung am IT Center <\/strong><\/span><\/h3>\n<p>Vor dem Hintergrund dieser Angriffe und regelm\u00e4\u00dfiger Phishing-Vorf\u00e4lle wird der Zugriff auf unsere HPC-Systeme zuk\u00fcnftig durch die Zwei-Faktor-Authentifizierung (2FA) vor Missbrauch durch Dritte gesch\u00fctzt. Insbesondere im Hinblick auf den Schutz eurer Forschungsdaten, empfehlen wir euch die MFA zu nutzen.<\/p>\n<p>Derzeit befinden wir uns noch in einer Pilotphase und die Zwei-Faktor-Authentifizierung ist lediglich auf dem Knoten <strong>login18-4.hpc.itc.rwth-aachen.de<\/strong> aktiviert. F\u00fcr die breite Sicherheit planen wir aber in den kommenden Monaten die Aufweitung auf weitere Knoten. Das Einloggen auf andere Knoten bleibt zun\u00e4chst ohne zweiten Faktor m\u00f6glich.<\/p>\n<h3><span style=\"color: #00549f;\"><strong>Doch was ist Zwei-Faktor-Authentifizierung eigentlich?<\/strong><\/span><\/h3>\n<p>Das Thema 2FA wird euch wahrscheinlich schon bekannt vorkommen. Multifaktor-Authentifizierung (MFA) ist die Kombination von mindestens zwei Faktoren, die idealerweise aus verschiedenen Typen bestehen. Mit diesem Datenpaar authentifizieren wir uns auf verschiedenen Webseiten. Eine ausf\u00fchrliche Erkl\u00e4rung mit Hintergrundwissen findet ihr in unserem Blogbeitrag zur <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/2022\/11\/02\/regapp1\/\">RegApp<\/a>.<\/p>\n<h3><span style=\"color: #00549f;\"><strong>Umsetzung der Zwei-Faktor-Authentifizierung in der RegApp<\/strong><\/span><\/h3>\n<p>Ihr k\u00f6nnt euch f\u00fcr die Zwei-Faktor-Authentifizierung entscheiden, indem ihr einen zweiten Faktor in Form eines Authentifizierungstokens zu eurem <a href=\"https:\/\/regapp.itc.rwth-aachen.de\/welcome\/index.xhtml;jsessionid=iIbr2fwEdw2rWewFo21PTn1TFVmo55KTcCTiGXEE.0f7698412200\">RegApp-Konto<\/a> hinzuf\u00fcgt. Die Voraussetzung ist nat\u00fcrlich ein aktiver HPC-Account. Ausw\u00e4hlen k\u00f6nnt ihr zwischen zwei Token-Varianten. Smartphone Token oder eine TAN Liste. F\u00fcr die Nutzung der Smartphone Token ben\u00f6tigt ihr eine passende App gem\u00e4\u00df RFC 6238 wie beispielsweise Google Authenticator, Microsoft Authenticator, FreeOTP oder Sophos Authenticator. Die TAN Liste dient als Backup, falls ihr keinen Zugriff mehr auf eure anderen Tokens habt. Eine genaue Anleitung zur Einrichtung und Nutzung der Multifaktor-Authentifizierung findet ihr auf <a href=\"https:\/\/help.itc.rwth-aachen.de\/service\/rhr4fjjutttf\/article\/475152f6390f448fa0904d02280d292d\/\">IT Center Help<\/a>.<\/p>\n<p>Habt ihr die MFA aktiviert, werdet ihr bei jedem Anmeldeversuch nach dem zweiten Faktor gefragt. Wenn ihr die st\u00e4ndige Eingabe vermeiden wollt, k\u00f6nnt ihr ein SSH-Schl\u00fcsselpaar anlegen und es mit eurem Konto verbinden. Sofern der private Schl\u00fcssel auf eurem privaten Rechner liegt, m\u00fcsst ihr den weiten Faktor nur alle 10 Stunden angeben.<\/p>\n<p>Eine Step-by-Step Anleitung zur Nutzung der <a href=\"https:\/\/help.itc.rwth-aachen.de\/service\/rhr4fjjutttf\/article\/475152f6390f448fa0904d02280d292d\/\">Multifaktor-Authentifizierung<\/a> auf CLAIX haben wir euch auf IT Center Help zusammengestellt.<\/p>\n<h3><span style=\"color: #00549f;\"><strong>Was sind SSH-Keys?<\/strong><\/span><\/h3>\n<p>Die Secure Shell (SSH) erm\u00f6glicht den verschl\u00fcsselten Zugang zur Kommandozeile auf HPC-Systeme sowie den verschl\u00fcsselten Datentransfer. Die Authentifizierung kann \u00fcber Schl\u00fcsselpaare anstelle der Eingabe eines Passwortes erfolgen. Die SSH-Schl\u00fcsselpaare bestehen aus einen Private-Key (privater Schl\u00fcssel) und einem Public-Key (\u00f6ffentlicher Schl\u00fcssel). Der \u00f6ffentliche Schl\u00fcssel wird auf dem HPC-System hinterlegt und der private Key liegt auf dem Computer der Nutzenden.<\/p>\n<p>Den privaten Schl\u00fcssel gilt es besonders zu sch\u00fctzen:<\/p>\n<ul>\n<li>Er darf nicht in fremde H\u00e4nde gelangen. Wer in den Besitz des privaten Schl\u00fcssels kommt, hat auch Zugang zum HPC-System.<\/li>\n<li>Aufgrund dessen empfehlen wir euch, den SSH-Key mit einer Passphrase zu sichern. Die Passphrase wird bei Erzeugung des Schl\u00fcsselpaares eingegeben. Auszuw\u00e4hlen ist sie wie eine Art Passwort.<\/li>\n<li>Es ist sinnvoll, f\u00fcr jedes HPC-System ein separates Schl\u00fcsselpaar zu erzeugen.<\/li>\n<li>Es sollen Schl\u00fcssel mit m\u00f6glichst vielen Bits erstellt werden.<\/li>\n<\/ul>\n<p>Wie ihr einen SSH key in euren HPC Account integriert erfahrt ihr auf <a href=\"https:\/\/help.itc.rwth-aachen.de\/service\/rhr4fjjutttf\/article\/647539ca0bf64f12b5b5496df69a0298\/\">IT Center Help<\/a>.<\/p>\n<p>Um den Schutz eures HPC-Accounts sowie eurer Forschungsdaten zu verst\u00e4rken, macht es also durchaus Sinn, die Zwei-Faktor-Authentifizierung zu nutzen und sich auch mit den Sicherheitshinweisen der SSH-Keys auseinander zu setzen. So k\u00f6nnen wir gemeinsam unser HPC-System noch sicherer machen.<\/p>\n<p>Weitere Anleitung rund um die Multifaktor-Authentifizierung und die RegApp haben wir euch auf <a href=\"https:\/\/help.itc.rwth-aachen.de\/service\/rhr4fjjutttf\/article\/3b6f66955dbb40fb824aa8b835832429\/\">IT Center Help<\/a> zusammengestellt.<\/p>\n<p>Quellen:<\/p>\n<p>[0] <a href=\"https:\/\/www.heise.de\/news\/Nach-Angriff-auf-HPC-Systeme-Supercomputing-nur-zu-Geschaeftszeiten-4770267.html\">https:\/\/www.heise.de\/news\/Nach-Angriff-auf-HPC-Systeme-Supercomputing-nur-zu-Geschaeftszeiten-4770267.html<\/a><\/p>\n<p>Verantwortlich f\u00fcr die Inhalte dieses Beitrags sind <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/IT-Center\/Profil\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0xEB02B17E7CEFC7439E74CA6A9BF96319&amp;allou=1\">Tim Cramer<\/a>, <a href=\"https:\/\/www.i12.rwth-aachen.de\/cms\/Lehrstuhl-fuer-Informatik\/Der-Lehrstuhl\/Team\/Hochleistungsrechnen\/~qdzr\/Simon-Schwitanski-M-Sc\/?allou=1\">Simon Schwitanski<\/a> und <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/IT-Center\/IT-Center\/Team\/~epvp\/Mitarbeiter-CAMPUS-\/?gguid=0x592B0D17C73A1249AC2C233FADF6EE96&amp;allou=1\">Janin Vreydal<\/a>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Mindestens ein knappes Dutzend der Supercomputer in Europa wurden im Mai 2020 gleichzeitig vom Netz genommen. Mehrere Hochschulzentren in Europa sind von Hackern angegriffen worden und mussten offline gehen. Die [&hellip;]<\/p>\n","protected":false},"author":3351,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"c2c_always_allow_admin_comments":false,"footnotes":""},"categories":[924,314,315,310],"tags":[151,531,23,62,694,799],"class_list":["post-13849","post","type-post","status-publish","format-standard","hentry","category-hpcnews","category-it-sicherheit","category-services-support","category-studium-lehre","tag-claix","tag-cluster","tag-hpc","tag-mfa","tag-regapp","tag-rwth-hpc"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/13849","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/users\/3351"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/comments?post=13849"}],"version-history":[{"count":13,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/13849\/revisions"}],"predecessor-version":[{"id":18271,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/13849\/revisions\/18271"}],"wp:attachment":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media?parent=13849"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/categories?post=13849"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/tags?post=13849"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}