2018 JAHRESBERICHT Cover: © Peter Wienerroither Aconet Jahresbericht 2018

ACOnet Jahresbericht 2018

2018 JAHRESBERICHT Cover: © Peter Wienerroither ACOnet Jahresbericht 2018

www.aco.net | www.vix.at 2 Inhalt

Vorwort ...... 4

Über ACOnet Leitbild & Ziele ...... 8 Zahlen, Daten, Fakten ...... 9 Unser Team ...... 10

Netzwerk ACOnet Standortporträt – Montanuniversität Leoben ...... 16 Neue Wege im ACOnet-Backbone ...... 19 ACOnet Class of Service: VIX-Traffic unlimited ...... 22

Services ACOnet-CERT 2018: Meltdown, Spectre, OpenVAS ...... 26 DSGVO: Auswirkungen auf Registries und ACOnet ...... 28 European Open Science Cloud: Startschuss in Wien ...... 31 IaaS Cloud Services 2018 ...... 33 Partnership for Advanced Computing in Europe ...... 34 DNSSEC für .ac.at ...... 36

Beiträge von ACOnet-Teilnehmern Telepresence @ Austrian Universities ...... 46 Statistik Austria: Katastrophenvorsorge via ACOnet-Backbone ...... 48 Missbräuchliche Nutzung des Tor-Netzwerks ...... 50 Das Kooperationsprojekt „Supercomputer MACH-2“ ...... 53

Impressum ...... 56

3 Vorwort

Liebe Leserin, lieber Leser! am ISO-27001-Standard, um eine künftige Zertifi- zierung zu erleichtern. Dies stellt sicher, dass die Verglichen mit dem für ACOnet äußerst ereignis- dabei gewonnenen Erfahrungen in einem zweiten reichen Jahr 2017 stand 2018 vor allem im Zei- Schritt auch ACOnet zugute kommen werden. chen diverser Konsolidierungen. Beispielsweise wurden im ACOnet-Backbone mehrere Erweite EOSC & PRACE rungen vorgenommen, um die Vorteile des neuen Trägernetzes auch ausnutzen zu können (siehe Besonders hingewiesen sei auf zwei internationale Seite 19). Ein zusätzlicher Mehrwert für unsere Initiativen, die gänzlich neue Möglichkeiten für Teilnehmerorganisationen ergibt sich durch die die Wissenschafts-Community mit sich bringen: Umstellung unseres „Class of Service“-Konzepts: Die European Open Science Cloud (EOSC), die Seit November 2018 fällt auch der gesamte VIX- im November 2018 offiziell gestartet wurde, soll Traffic unter den unlimitierten „akademischen“ künftig dafür sorgen, dass Forschungsdaten aus Datenverkehr (mehr dazu ab Seite 22). EU-geförderten Projekten frei nutzbar sind (siehe Seite 31). Das Supercomputing-Netzwerk PRACE DSGVO & NIS-Richtlinie vermittelt europäischen WissenschaftlerInnen Zu- gang zu mehreren Höchstleistungsrechnern für die Die im Mai 2018 in Kraft getretene EU-Daten- Durchführung ihrer Forschungen (siehe Seite 34). schutz-Grundverordnung (DSGVO) hat bekannt- Beide Services stehen auch für ACOnet-Teilneh- lich sehr weitrei chende Auswirkungen. Was sich merorganisationen zur Verfügung. durch die DSGVO im ACOnet-Kontext verändert hat, erfahren Sie ab Seite 28. Das Jahr der Jubiläen Worauf wir schon länger vorbereitet sind und was 2018 waren wieder einige Jahrestage zu feiern: sich ebenfalls 2018 manifestiert hat: Im Rahmen Die drei Jubiläen 30 Jahre Domainendung „.at“, der nationalen Umsetzung der EU-weiten „Network 20 Jahre Domain-Registrierungsstelle „nic.at“ und Information Security“-Richtlinie (NIS-Richtlinie) Online-Meldestelle „Stopline.at“ sowie 10 Jahre wird der Vienna Internet eXchange (VIX) als we- „CERT.at“ (Computer Emergency Response Team sentlicher Dienst definiert. Die Universität Wien Austria) wurden mit einer gemeinsamen Gala im als „rechtspersönlicher“ Betreiber des VIX widmet Marx Palast gewürdigt (siehe Seite 42). sich nun intensiv der Dokumentation der gesamten sicherheitsrelevanten Abläufe. Außerdem wer- Ebenso beachtlich sind zwei weitere Geburtstage: den zusätzliche Maßnahmen gesetzt, um bereits Das ACOnet-CERT stellt seine Security-Expertise bestehende Prozesse zu standardisieren und zu seit mittlerweile 15 Jahren in den Dienst der Com- optimieren. Wir orientieren uns bei der Standardi- munity, und das internationale WLAN-Roaming- sierung unseres Information Security Managements Service eduroam wurde stolze 10 Jahre alt.

4 Personelles

Auch im vergangenen Jahr waren in unserem Team wieder etliche Verän- derungen zu verzeichnen. Abideen Bamgbala hat sich entschieden, sein Dienstverhältnis nicht zu verlängern, sondern ab September 2018 ein Stu- dium im Ausland zu beginnen. Das ACOnet-CERT wiederum hat mit Christoph Campregher seit Septem- ber 2018 einen äußerst kompetenten neuen Mitarbeiter; dafür hat jedoch Manfred Halper, der ab Dezember 2017 im CERT-Team beschäftigt war, mit Jahresende 2018 in die Privat- wirtschaft gewechselt. Wir wünschen unseren beiden scheidenden Kolle- gen das Beste für ihren weiteren Le- Wilfried Wöber erhielt den ersten „Rob Blokzijl Award“ der RIPE-Community bensweg! (© Matthijs Mekking)

Eine sehr seltene – und daher umso erfreulichere Wie immer möchte ich mich auch bei meinen Mit- – Würdigung soll hier ebenfalls nicht unerwähnt arbeiterInnen sowie bei der gesamten ACOnet- bleiben: Unser Kollege Wilfried Wöber wurde für Community für ihren Einsatz und ihre Koopera sein jahrzehntelanges Engagement für die Weiter- tionsbereitschaft herzlich bedanken. entwicklung des Internet im Mai 2018 mit dem ersten „Rob Blokzijl Award“ der RIPE-Community Und nun wünsche ich eine interessante Lektüre! ausgezeichnet (siehe Foto). Wir gratulieren herz- lichst!

Danke Christian Panigl Im vorliegenden Jahresbericht 2018 finden Sie wieder mehrere Beiträge von ACOnet-Teilnehmer- Abteilungsleiter ACOnet & VIX organisationen. Ein großes Dankeschön an alle GastautorInnen!

5 6 Über ACOnet

7 Leitbild & Ziele

ACOnet-Leitbild Strategische Ziele

ACOnet bietet seinen Teilnehmern eine Kombi ACOnet unterstützt vorrangig die teilnehmenden nation aus leistungsfähigem Backbone und ziel- österreichischen Universitäten, Forschungs- und gruppenorientierten Services. Dadurch werden Bildungseinrichtungen gemäß ihren Anforderun Anreize und Möglichkeiten zur wissenschaftlichen gen an nationale und internationale Datennetze und innovativen Kommunikation, Kooperation und Services. und Weiterentwicklung auf nationaler und inter nationaler Ebene geboten. ACOnet richtet die Weiterentwicklung seiner Infrastruktur und Services regelmäßig an den Ent ACOnet unterstützt – aufbauend auf der Größe wicklungen im internationalen Wissenschaftsnetz und der unterschiedlichen Zusammensetzung der verbund aus. Teilnehmer – die Bildung von „Communities“. Dies trifft sowohl auf die gesamte Gemeinschaft zu ACOnet verbessert kontinuierlich das Kosten- als auch auf Gruppen mit ähnlichen Interessen Nutzen-Verhältnis für seine Teilnehmerorgani oder Zielen. Dieses Community Building ist die sationen. Die Schwerpunkte liegen hierbei auf Basis für gegenseitiges Vertrauen und somit eine der Beibehaltung der Betriebsstabilität bei wesentliche Voraussetzung für sichere und effi gleichzeitiger Erweiterung des Service-Ange ziente Kommunikation sowie die Implementierung bots. sicherheitsrelevanter Services. ACOnet ist interessiert, neben der betriebssicheren ACOnet stellt sein Know-how und seine nicht- „Internet-Versorgung“ für seine Teilnehmerorga kommerzielle, neutrale Expertise in den Dienst nisationen auch spezifische Anforderungen von der Informationsgesellschaft und kooperiert mit Forschungsprojekten und Benutzergruppen mit relevanten Organisationen und Institutionen im besonders hohen Qualitätsansprüchen bedienen In- und Ausland. zu können.

8 | Über ACOnet Zahlen, Daten, Fakten

ACOnet-Teilnehmeranschlüsse gesamt (Stand 31. Dezember 2018) 240

• Akademische Organisationen 64 (34 Universitäten, 19 Fachhochschulen, 11 sonstige Bildungseinrichtungen) • Studierendenheimträger 55 (mit insgesamt 131 an ACOnet angebundenen Studierendenheimen) • Einrichtungen der öffentlichen Verwaltung 33 • Forschungseinrichtungen 31 • Kulturorganisationen 14 • Regionale EDUnet-Teilnehmer 9 • Gesundheitsinstitutionen 6 • Sonstige 28 davon: • ACONET-Vereinsmitglieder 40 • GovIX-Teilnehmer 32 Backbone-Standorte 20 Glasfaser in km 3300

Das ACOnet-Budget ergibt sich aus den Erlösen Finanzielle Kennzahlen in Mio. € 2017 2018 aus Nutzungsvereinbarungen mit den Teilnehmer (Stand 11. März 2019) organisationen. + Erlöse 6,0 6,2 Aufwendungen 2018 – Aufwendungen 5,8 5,9 • Personal 0,7 0,8 Abschreibungen Personal • Datenleitungen 3,4 3,5 Sonstiges • Wartung, Support, Infrastruktur 0,4 0,5 Wartung, Support, • Sonstiges 0,3 0,2 Infrastruktur • Abschreibungen 0,9 0,9

= Ergebnis 0,2 0,3 Datenleitungen • davon Rücklage ACOnet 0,1 0,3 Anlagenanschaffungen 2,5 0,0

Zahlen, Daten, Fakten | 9 Unser Team

Das ACOnet-Team ist am Zentralen Informatikdienst der Universität Wien angesiedelt.

Panigl Christian Abteilungsleiter

ACOnet & Vienna Internet eXchange (VIX)

Michl Harald Teamleiter, Betriebskoordination, Netzwerk-Betrieb

Bamgbala Abideen Netzwerk-Betrieb (bis 31. August)

Bauer Kurt Identity Federation, Zertifikatsservice, Netzwerk- und Server-Betrieb

Cravos Romana Projektmanagement, Eventmanagement (Peering Days)

Genser Christoph Webentwicklung, Öffentlichkeitsarbeit

10 | Über ACOnet Perzi Michael LIR, Teilnehmeradministration, Netzwerk- und Server-Betrieb

Radulescu Liviu-Radu Softwareentwicklung

Rennert Erwin Netzwerk-Betrieb

Schneider Monika Netzwerk-Betrieb

Schober Peter Identity Federation, Server-Betrieb

Stadlmann Tina Administratives, Veranstaltungen

Wein Robert Monitoring, Netzwerk- und Server-Betrieb

Freie Mitarbeiterinnen und Mitarbeiter:

Kreil Renate Kunst- und Kulturkommunikation

Wöber Wilfried Security, Training, Consulting

Zoppoth Elisabeth Webredaktion, Öffentlichkeitsarbeit

Unser Team | 11 ACOnet-CERT

Alexander Christoph Manfred Halper Markus Raditsch Talos-Zens Campregher

Das Team der Internet Domain Administration Ansprechpartner für ACOnet-Teilnehmer: Teamleiter Gerhard Winkler (4. von rechts) und Arsen Stasic (3. von rechts)

12 | Über ACOnet Computer Emergency Response Team (CERT)

Talos-Zens Alexander Teamleiter

Campregher Christoph CERT-Betrieb (ab 1. September)

Halper Manfred CERT-Betrieb (bis 31. Dezember)

Raditsch Markus CERT-Betrieb

Internet Domain Administration

Winkler Gerhard Teamleiter

Adam Achim Software- und Systementwicklung

Dorner Clemens Software-Qualitätssicherung

Englisch Holger .ac.at-Domains, Kundensupport

Grünauer Marcel Software- und Systementwicklung

Heimhilcher Markus DNS-Administration

Hofstetter Mark Software- und Systementwicklung

Hörtnagl Christian Systemadministration

Papst Andreas Projektmanagement

Reicher Markus Monitoring und Datenvisualisierung

Reutner-Fischer Bernhard Software- und Systementwicklung

Schmidt David Software- und Systementwicklung

Stasic Arsen ACOnet-Services, GovIX

Unser Team | 13 14 Netzwerk

15 ACOnet Standortporträt Montanuniversität Leoben

Die Montanuniversität Leoben (MUL) ist die kleinste technische Universität Österreichs und genießt aufgrund ihrer einzigartigen Ausrichtung auf Berg- und Hüttenwesen weltweit einen hervorragenden Ruf. Zu- sammen mit der TU Wien und der TU Graz bildet sie den Verbund der Austrian Universities of Technology (TU Austria). Die MUL ist ACOnet-Teilnehmer der ersten Stunde: Sie ist seit 1990 an ACOnet angebunden.

Seit der Gründung 1840 als „Steiermärkisch-Stän- nationalen Studierenden; diese kommen aus rund dische Montanlehranstalt“ durch Erzherzog Johann 80 verschiedenen Nationen. hat sich das Studien- und Forsc hungsprofilder Mon tanuniversität Leoben permanent weiterentwickelt Als kleinste technische Universität Österreichs bie- und deckt die gesamte Wertschöpfungskette von tet die Montanuniversität ihren Studierenden eine der Rohstoffgewinnung bis zur Entsorgung ab. Die hervorragende Ausstattung und optimale Betreu- „Alma Mater Leobiensis“ trägt heute viel zum Er- ung durch die Lehrenden. Ihr Vorteil ist die über- folg des Wirtschaftsstandortes Steiermark bei. schaubare Größe: Der intensive Kontakt zwischen Studierenden und Lehrenden ermöglicht es, Her- Derzeit lernen und forschen knapp 4000 Studie- ausforderungen im Studienalltag schnell zu lösen. rende an der Montanuniversität. Der Frauenanteil „Massenuniversität“ ist in Leoben ein Fremdwort. beträgt 28 %. Viele der angebotenen Studienrich- tungen können in dieser Form nur in Leoben be- Leoben1 / Leoben2 legt werden – mit dem Erfolg, dass die Absolven- tinnen und Absolventen der MUL zu den begehr- Die MUL wurde bereits 1990 an den ersten testen Akademikern zählen. Die internationale X.25-Backbone von ACOnet angebunden und be- Bedeutung zeigt der hohe Anteil von 17 % an inter treibt heute zwei ACOnet-Anschlusspunkte (Points

16 | Netzwerk Montanuniversität Leoben Hörsaalgebäude „Erzherzog-Johann-Trakt“ (© ZID/NOC) of Presence – PoPs). Der PoP „Leoben1“ befindet sich im zentralen Netzwerk-Verteilerraum des historischen Hauptgebäudes in der Franz-Josef-Straße. Der PoP „Leoben2“ ist im Backup- Serverraum des RWZ (Rohstoff- und Werkstoffzentrum) im Stadt- zentrum angesiedelt. Die beiden Montanuniversität Leoben PoPs sind redundant an die Tech- – oben: Impulszentrum für Werkstoffe nische Universität Graz bzw. die – unten: Hauptgebäude Karl-Franzens-Universität Graz (© ZID/NOC) angebunden. Die 20 Gebäude des MUL-Campus sind über den zentralen Glasfaser-Backbone mit 10 Gbit/s, wegeredundant und hoch verfügbar, verbunden.

Flächendeckendes WLAN und „eduroam“ am gesamten Cam- pus sind für eine moderne Uni- versität eine Grundvorausset- zung, wie auch VPN-Zugänge für alle Universitätsangehörigen. Für Gäste und für Wartungs zugänge stehen separate Gast ticket-Systeme und VPN-Verbin- dungen zur Verfügung.

Network Operations Center (NOC)

Die Aufgabenbereiche des NOC der Montanuniversität Leoben sind vielfältig. Sie umfassen den grundlegenden Aufbau, Betrieb und Wartung der wurde durch das NOC selbst aufgebaut. Der Be- Netzwerk-Infrastruktur, ein zweistufiges Firewall- trieb und die Wartung der Hard- und Software konzept, Firew alls für Organisationseinheiten, IP- wird ebenfalls vom NOC übernommen. und Video-Telefonie, Collaboration, Monitoring sowie den technischen Betrieb der Info-Screen- Das in Zusammenarbeit mit einem Industriepartner Systeme. vom NOC entwickelte, mandantenfähige Domain- und IP-Adressen-Management „IPAM“ wie auch Die dafür nötige Server-Infrastruktur (DHCP, DNS, das Netzwerk-Tool „RIF“ (eine Datenbank-Eigen Communication und Collaboration, Monitoring) entwicklung zur Verwaltung von Netzwerkdosen, in Form von physischen und virtuellen Servern Räumen, Switches und deren Konfiguration im

Standortporträt: Montanuniversität Leoben | 17 NOC und ACOnet

Der hochverfügbare und performante ACOnet-Backbone in Verbindung mit einer redundanten Anbindung erlauben es dem NOC, seinen Kunden eine schnelle und sichere Internetanbindung mit höchstem Service-Level zur Verfü- gung zu stellen.

Während sich von den ACOnet-Ser- vices bei den Universitätsangehörigen besonders eduroam großer Beliebtheit erfreut, schätzen die Serveradministra- torInnen das Trusted Certificate Service, Das NOC-Team der Montanuniversität Leoben (© ZID/NOC) um schnell und unkompliziert qualitativ hochwertige SSL-Zertifikate zu bezie- Rahmen des universitären Informations- und Ma- hen. Die aktiven externen Netzwerk-Scans durch nagementsystems „MU-Online“) ermöglichen dem das ACOnet-CERT zeigen mögliche Sicherheits NOC in Zusammenarbeit mit den IT-Administra lücken in der eigenen IT-Sicherheitsstruktur auf torInnen der universitären Organisationseinheiten und erlauben es der IT-Security, sowohl auf NOC- ein effizientes Management des Netzwerks. Ebene als auch auf Ebene der Organisationsein heiten präventiv Maßnahmen zu ergreifen. Zum Kundenkreis zählen neben den Organisations einheiten der MUL (Zentrale Dienste, Insti tute, Nicht zuletzt bilden die von ACOnet organisierten Lehrstühle) auch mehrere Studierendenheime und Workshops und die ACOnet-Community aufgrund AbsolventInnenvereine, Kompetenzzentren wie ähnlich gelagerter Problemstellungen bzw. Lösun- das MCL (Materials Center Leoben) und PCCL (Po- gen einen hochgeschätzten Wissenspool. lymer Competence Center Leoben) sowie das LZL (Laserzentrum Leoben) der Joanneum Research. Durch den „direkten Draht“ und persönlichen Kontakt zum ACOnet-Team lassen sich Aufgaben, Die SFG (Steirische Wirtschaftsförderungs GmbH), Komplikationen und unmittelbare Bedrohungen die ÖAW (Österreichische Akademie der Wissen schnell und effektiv lösen. Das Wissen des Teams schaften), das ÖGI (Österreichisches Gießerei-In um die besonderen Anforderungen eines Wissen sti tut), die TU Austria, mehrere Christian-Doppler- schaftsnetzes sind dabei ein unschätzbarer Vorteil Labore und das ZAT (Zentrum für Angewandte gegenüber jedem anderen Provider. Technologie) sind weitere Kunden, die über Glas- faser am NOC-Backbone angeschlossen sind. Auch die Stadtgemeinde Leoben ist über eine redundante LWL-Anbindung am Standort des PoP „Leoben2“ mit dem ACOnet verbunden. Josef Zechner

Die Außenstelle des Instituts für Geophysik (in Montanuniversität Leoben Gams bei Frohnleiten) bildet sowohl für Netzwerk ZID / Netzwerkabteilung (NOC) als auch Telefonie über einen VPN-Tunnel einen  [email protected] Teil des Netzwerks der MUL.

18 | Netzwerk Neue Wege im ACOnet-Backbone

Im Jahr 2017 lag unser Fokus auf der Erneuerung der Netzwerkkomponenten im ACOnet. Nachdem dies erfolgreich abgeschlossen war, ging es 2018 darum, die Vorteile der neuen Backbone-Topologie auch aus- zunutzen. Das konnte durch mehrere Direktverbindungen zwischen Standorten und durch die Kapazitäts- erweiterung einiger Strecken erreicht werden.

ACOnet als Betreiber einer gemeinsamen Netz Connectivity bereitstellen, sondern auch die Ko- werk-Infrastruktur für Wissenschaft, Forschung, operation der Teilnehmer untereinander unterstüt- Bildung und Kultur will nicht nur bestmögliche zen. In den letzten Jahren stiegen sowohl die Da- tenraten als auch die übertragenen Volumina enorm an. Damit gehen höhere Anforderungen an Die Vorgeschichte das darunterliegende Netz einher. Das nationale Backbone-Netzwerk von ACOnet Leitmotive wurde 2007 auf eine von der A1 Telekom Austria AG (A1TA) eigens errichtete, gemietete Glasfaser- Bei der letzten großen Umstellung im Jahr 2007 Infrastruktur umgestellt. Nach einer zehnjährigen lag das Hauptaugenmerk noch auf der Erhöhung Mindestvertragsdauer hatten wir ab 2017 die Mög- der Ausfallsicherheit durch neue Anschlusspunkte lichkeit, Adaptierungen im Netz vorzunehmen. – und der damit verbundenen Möglichkeit, dass Die Ziele dabei waren die Vereinheitlichung der ACOnet-Teilnehmer auch in den Bundesländern eingesetzten Technologien, die Erneuerung des redundante Anschlüsse an die Infrastruktur zu ver- opti schen Equipments sowie eine Senkung der tretbaren Kosten realisieren können. monatlichen Betriebskosten. Im Jahr 2018 war die Zielsetzung, die Vorteile, die Erreicht wurde dies durch eine fünfjährige Verlän- sich aus der neuen physikalischen Infrastruktur er- gerung des Vertrags mit der A1TA, verbunden mit geben, für die Teilnehmer nutzbar zu machen. Ne- einer Topologie-Anpassung und -Erweiterung so- ben der prinzipiellen Verfügbarkeit ist mittlerweile wie einem Tausch aller Routerkomponenten. Erste- auch die Laufzeit der Datenpakete ein wichtiger res führte unter anderem zu drei neuen Backbone- Parameter für das Ausspielen der vollen Leistungs- Standorten (Bregenz, St. Johann im Pongau und fähigkeit vieler Applikationen. So ist oftmals die Wiener Neustadt), letzteres zum Umstieg auf eine Übertragungsrate pro Sekunde indirekt proportio- neue Gerätegeneration eines neuen Herstellers. nal zur Laufzeit. Im Laufe des Jahres 2017 konnte all das erfolgreich umgesetzt werden – im laufenden Betrieb und Kurze Verbindungen ohne nennenswerte Ausfälle. Welche Vorteile die neue Topologie in dieser Näheres dazu ist im ACOnet Jahresbericht 2017 ab Hinsicht bieten kann, wird an einem Beispiel deut- Seite 16 zu finden (www.aco.net/jahresberichte). lich: In der alten Topologie wurden alle Datenpa- kete, die zwischen Innsbruck und Salzburg über-

Neue Wege im ACOnet-Backbone | 19 tragen wurden, in beiden Richtungen über Wien den Linzer und Grazer Standorte nach Wien von geschickt. Die Laufzeit – dargestellt im sogenann- 10 Gbit/s auf 20 Gbit/s verdoppelt. Durch diese ten „Round Trip Delay“ – lag in der alten Topologie Maßnahme kann eines der Grundprinzipien der bei ca. 15 Millisekunden. Durch die neue Direkt- Netzwerk-Infrastruktur von ACOnet – nämlich dass verbindung zwischen Salzburg und Innsbruck bei Ausfall einer Datenleitung kein Engpass in der konnte diese Laufzeit auf ca. 3 Millisekunden re- Übertragung entstehen soll – auch weiterhin ge- duziert werden – also auf ein Fünftel! währleistet werden.

Neben der Strecke Innsbruck – Salzburg wurden Wir sind überzeugt, mit der aktuellen Topologie auch „Abkürzungen“ zwischen Innsbruck und und Technologie die besten Voraussetzungen zu Klagenfurt, Klagenfurt und Graz sowie Linz und haben, um die Anforderungen, die in nächster Zeit Salzburg eingerichtet. Sehr schön sieht man die auf uns zukommen werden, zu meistern. Erweiterung bei einem Vergleich der physikalischen und der logischen Netzwerk-Topologie (siehe Abbildung unten und auf Seite 21 unten). Harald Michl Kapazitätserweiterungen Graz und Linz sind neben Wien traditionell die ACOnet Standorte mit dem höchsten Bandbreitenbedarf. Betriebskoordination Aus diesem Grund wurden die Strecken der bei-

ACOnet-Backbone 2018 Physikalische Topologie

Verlauf der Glasfaser-Leitungen (© ACOnet)

20 | Netzwerk Uplinks

Bei den internationalen Anbindungen wurde im September ein Upgrade der Anbindung an GÉANT initiiert. Sowohl die Primär- als auch die Backup- anbindung sollten hierbei auf 30 Gbit/s ausgebaut werden. Die Erweiterung des Primäranschlusses konnte wie geplant im Oktober 2018 abgeschlossen werden. Für den Upgrade der Backupleitung waren allerdings seitens GÉANT Spezial-Optiken mit weitaus längeren Lieferzeiten notwendig, sodass dieser auf 2019 verschoben werden musste.

Sobald hier der Upgrade der physischen Band- breite erfolgt ist, sollen auch die von GÉANT bezo- genen Zusatzservices (d. h. das GÉANT Peering Service und die GÉANT Cloud Services), die sich immer größerer Beliebtheit erfreuen, am Backup- Pfad konfiguriert werden. Internationale Anbindungen von ACOnet in Wien (© ACOnet)

ACOnet-Backbone 2018 Logische Topologie

Aufgeschaltete Verbindungen (© ACOnet)

Neue Wege im ACOnet-Backbone | 21 ACOnet Class of Service: VIX-Traffic unlimited

ACOnet nutzt „Class of Service“ (CoS), ein Verfahren zur Markierung von Datenpaketen, um innerhalb seines Backbones den (unlimitierten) akademischen Datenverkehr und den (limitierten) kommerziellen Daten verkehr differenzieren zu können. Seit der Einführung von CoS im ACOnet vor rund 10 Jahren hatte unlimitierter Verkehr innerhalb der Wissenschaft und Forschung stets oberste Priorität. 2018 haben wir unser CoS-Konzept überarbeitet, um der aktuell stark wachsenden Cloud-Nutzung akademischer Institu tionen, die zu einem guten Teil über kommerzielle Netze läuft, gerecht zu werden.

CoS im ACOnet, kurz erklärt Datenpakete dann anhand ihres DSCP-Wertes je nach Herkunft unterschiedlich behandelt werden. Im ACOnet werden zwei Klassen von Datenver- kehr unterschieden: Neue Anforderungen • Academic (wissenschaftlicher & lokaler Traffic): Bisher fielen folgende Datenlieferanten in den Dieser Bereich umfasst im Wesentlichen den Commodity-Bereich: Datenaustausch zwischen ACOnet-Teilnehmer • CenturyLink organisationen und mit anderen Wissenschafts • next layer netzen. Academic Traffic ist – ebenso wie alle • GÉANT Peering Service Uploads – für ACOnet-Teilnehmer kostenfrei • Vienna Internet eXchange (VIX) und wird ohne Begrenzung bis zur vollen Ka- pazität der jeweiligen Zubringerleitung zuge Im Laufe des Jahres 2018 wuchs der über den VIX stellt, unabhängig von der subskribierten An- laufende Commodity-Anteil beständig an. Die Ur- schaltbandbreite des Teilnehmers. sache: Immer mehr ACOnet-Teilnehmerorganisa tionen nutzen diverse Cloud-Services, deren An- • Commodity: Als Commodity Traffic wird jener bieter großteils auch am VIX vertreten sind. Der Datenverkehrs-Anteil bezeichnet, der über Verkehrsweg über den VIX ist aufgrund direkter kommerzielle Upstream Provider ins ACOnet Peerings meist der kürzeste und somit der bevor- gelangt. Die Zustellung von Commodity Traffic zugte. Das betrifft auch Cloud-Anbieter aus dem ist limitiert auf die vertraglich subskribierte Rahmenvertrag der GÉANT Cloud Services (mehr Bandbreite eines Teilnehmers (die allerdings dazu auf Seite 33). Vor diesem Hintergrund hat der nach dem Fair-Use-Prinzip temporär um bis zu ACOnet-Lenkungsausschuss unserem Vorschlag 1600 % überzogen werden kann). zugestimmt, auch VIX-Traffic unlimitiert an die Teilnehmer zuzustellen. Um diese beiden Klassen voneinander abgrenzen zu können, werden alle hereinkommenden Daten Neue Herausforderungen pakete an den ACOnet-Außengrenzen abhängig vom „Datenlieferanten“ automatisch markiert. Das Die Umsetzung bedurfte allerdings einer grund geschieht mit Hilfe des DSCP-Feldes im IP-Header sätz lichen Änderung des bisherigen CoS-Konzepts. (DSCP = Differentiated Services Codepoint). An Einer der Hauptgründe dafür liegt in der Gefahr der Schnittstelle zu den Teilnehmern können die von „Denial of Service“-Attacken (DoS). Ein nicht

22 | Netzwerk un erheblicher Teil des von potenziellen DoS-Atta- Kommerzieller Verkehr (limitiert): cken verursachten Datenverkehrs würde voraus- DSCP 34 (binär 100010): sichtlich über den VIX transportiert werden; daher • CenturyLink wäre eine Saturierung der Teilnehmer-Anbindun- • next layer gen möglich, wenn der VIX-Traffic mit demselben • GÉANT Peering Service DSCP-Wert markiert wäre wie der akademische Datenverkehr. Für die mit DSCP 36 markierten Datenpakete Neue Lösungen wurde ein „Sicherheitsgurt“ implementiert, der be- wirkt, dass mit solchen Paketen maximal 80% ei- Aus diesem Grund wurde für Academic Traffic ein nes Teilnehmeranschlusses ausgelastet werden zweiter DSCP-Wert implementiert. Diese Markie- können. Dadurch ist es für ACOnet-Teilnehmer rung wird für alle Datenpakete verwendet, die auch während einer DoS-Attacke noch möglich, vom VIX, von den GÉANT Cloud Services oder Datenpakete mit anderen Teilnehmern auszu von unseren bilateralen NREN-Peering-Partnern tauschen. (CESNET, SANET und PIONIER) einlangen. Die Markierung für den wissenschaftlichen (GÉANT Die Implementierung im ACOnet-Backbone wurde NRENs) und lokalen (ACOnet-Teilnehmer) Daten Ende Oktober 2018 umgesetzt. Bereits nach kurzer verkehr blieb unberührt. Zeit war bei den Teilnehmern eine Reduzierung des Commodity-Anteils am Datenverkehr feststell Zum Einsatz kommen nun folgende Markierungen bar, die in der Regel zwischen 20 und 40 % lag. mittels DSCP-Werten: Das Ziel, allen ACOnet-Teilnehmern einen Mehr wert zu verschaffen, konnte somit erreicht werden. Akademischer/lokaler Verkehr (unlimitiert): DSCP 32 (binär 100000): • ACOnet-Teilnehmer • GÉANT NREN Traffic Michael Perzi DSCP 36 (binär 100100): • Vienna Internet eXchange (VIX) ACOnet • bilaterale NREN-Peerings • GÉANT Cloud Services

ACOnet Class of Service: VIX-Traffic unlimited | 23 24 Services

25 ACOnet-CERT 2018: Melt down, Spectre, OpenVAS

Durch die IT-Security-Brille betrachtet, war 2018 ein sehr interessantes Jahr. Abgesehen vom Inkrafttreten der EU-Datenschutz-Grundverordnung (die zwar in den Security-Bereich hineinspielt, in diesem Rückblick aber außer Acht gelassen wird), waren es vor allem zwei außergewöhnliche neue Sicherheitslücken, die die Computer Emergency Response Teams (CERTs) weltweit beschäftigten: Meltdown und Spectre. Das ACOnet-CERT hat darüber hinaus mit OpenVAS ein neues Service in Betrieb genommen und etliche Alt- lasten bereinigt.

Jahresauftakt mit Aufregung: realistisches Szenario in Betracht gezogen hatte: aus dem Timingverhalten des Prozessors nicht Meltdown und Spectre preisgegebene Informationen abzuleiten. Die Zu- Das Knallen der Sektkorken war noch kaum ver- griffskontrollen im Prozessor funktionierten spe hallt, als Meltdown und Spectre durch die Medien zifikationsgemäß, nur eben in datenabhängiger geisterten. Business as usual? Irgendjemand ent- Zeit – ist das überhaupt ein Fehler? Falls ja, wer ist deckt irgendeine Sicherheitslücke, dekoriert sie mit schuld? Name, Logo und Webseite und verbreitet damit Angst und Schrecken? Bald sind Angriffsvektor und Das ist sensationell, weil grundlegende Design- betroffene Software bekannt, ein Upgrade oder prinzipien aktueller Prozessorarchitekturen neu Bugfix behebt das Problem und alles ist paletti? überdacht werden müssen. Inwieweit aktuelle Sys- teme wenigstens notdürftig mit Diesmal nicht. Diesmal war Microcode-Updates im Prozes- Hardware im Fokus, und das sor und mit Softwaretricks ge- warf ungewohnte Fragen auf: gen diese Angriffe resistent gemacht werden können, muss • Können wir dieses Problem sich erst herausstellen. Auch für überhaupt nachvollziehen? potenzielle Angriffsszenarien • Ist es in der Praxis relevant? wurde ein eigenes Forschungs- • Wie könnte man Hardware feld eröffnet. „bugfixen“? Als eines der ersten Computer • Wie können die Sicherheits- Emergency Response Teams lücken ausgenutzt werden? weltweit hat das ACOnet-CERT • Betreffen sie alle Anwendun- der Community eine Einschät- gen, nur bestimmte Systeme, zung der Lage zur Verfügung oder stehen wir kurz vor dem gestellt. Die gute Nachricht: digitalen Weltuntergang? Reale Angriffe im Netz sind eher aufwendig und bis dato Meltdown und Spectre zeigten nicht bekannt geworden. Die vor, was man bis dahin nicht als schlechte: Grundsätzliche Lö-

26 | Services sung gibt es mittelfristig keine, und es ist mit wei- für berechtigte IT-MitarbeiterInnen von ACOnet- teren Entdeckungen zu rechnen. Um die Angriffs- Teilnehmerorganisationen möglich). fläche möglichst gering zu halten, ist neben den selbstverständlichen Betriebssystem-Updates auch Kehraus im ACOnet auf die Aktualisierung des Prozessor-Microcodes zu achten – sei es via BIOS des Mainboards oder Damit das ACOnet seinen guten Ruf – und damit beim Booten des Betriebssystems. auch seine gute Vernetzung – behält, kümmert sich das ACOnet-CERT routinemäßig um all die sicher- OpenVAS – was? heitsrelevanten Fälle, die auch ohne genauen Scan ins Blickfeld rücken. Kaum jemand wird bestreiten, dass Server sicher konzipiert, sicher konfiguriert und regelmäßig ge- In der Hauptsache betrifft das Systeme, die an wartet werden sollen. Ebenso allgemein bekannt „Denial of Service“-Angriffen (DoS-Angriffen) teil- ist, dass es trotz aller Sorgfalt gelegentlich zu nehmen, Spammail versenden oder bei Sensoren Sicherheitslücken kommen kann. Ein Security- für Bot-Netze auffallen. Eher selten passiert es, Scan kann helfen, hier sozusagen als zweites Au- dass regelrechte Beschwerden bei ACOnet eintref- genpaar über eine Installation „drüberzuschauen“. fen. Nach ausgewählten Schwachstellen sucht das ACOnet-CERT selbst: Das sind vor allem Server, Besonders aussagekräftig ist es, wenn ein solcher die als UDP-basierte Reflektoren für DoS-Angriffe Scan von außerhalb des eigenen Netzes geschieht, dienen können. da so die exponierten Services aufgezeigt werden. Zu diesem Zweck wurde für ACOnet-Teilnehmer- In all diesen Fällen wird der Security-Kontakt des organisationen das Service „Vulnerability Assess- jeweiligen ACOnet-Teilnehmers per E-Mail ver- ment Scan“ eingerichtet. ständigt. Zumeist ist das Problem in kürzester Zeit gelöst. Die Ausnahme bestätigt aber die Regel, und Der Scan erfolgt mit Hilfe des Open-Source-Tools so hatten sich über 200 offene Vorfälle angesam- OpenVAS, ist auf maximal 256 IP-Adressen be- melt; die meisten davon waren schon länger offen. schränkt und kann von zwei Adressen aus erfolgen, um dem Assessment z. B. unterschiedlich Dies nahm das CERT zum Anlass, die Karteileichen durchlässige Firewallkonfigurationen zugrunde zu in unzähligen Mails, Telefonaten und Nachfor- legen. Einige Beispiele für Schwachstellen, die ein schungsaktionen zu bearbeiten. Nur in ganz weni- solcher Scan aufdecken kann: gen Ausnahmefällen war es erforderlich, als Not- • Konfigurationsschwächen bei Übertragungs- maßnahme zur Sperre einer IP-Adresse zu greifen. protokollen, • veraltete Protokoll- oder Cipher-Versionen, Der Erfolg kann sich sehen lassen: Die offenen • offene Betriebssystem- bzw. Software-Lücken, Fälle sind auf ein Zehntel gesunken und die DoS- • Schwachstellen in CMS- oder Wiki-Systemen, Angriffe selten geworden. • OpenSSL Vulnerabilities, • versehentlich laufende Telnet-Server, • prinzipiell erreichbare Samba-Shares, • offene Mailrelays • und vieles andere. Alexander Talos-Zens

Alle Einzelheiten dazu sind im ACOnet-Webportal Teamleiter ACOnet-CERT unter dem Punkt „Netzwerk / CERT Online“ zu finden (https://www.aco.net/webportal – Login nur

ACOnet-CERT 2018: Meltdown, Spectre, OpenVAS | 27 DSGVO: Auswirkungen auf Registries und ACOnet

Die Datenschutz-Grundverordnung (DSGVO) regelt und vereinheitlicht die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Einrichtungen in Österreich. Sie ist die Umset- zung einer Direktive der Europäischen Union (General Data Protection Regulation, GDPR) in nationales Recht. Im Folgenden wird beschrieben, welche Konsequenzen die DSGVO für Name Registries, IP Number Registries und für den Betrieb von ACOnet hat.

Richtlinien Diese Vorgaben bilden nun einen modernen rechtlichen Rahmen, in dem Daten zu betrachten sind. Die DSGVO ist seit Mai 2018 anzuwenden und re- In unserem Fall betrifft das jene Daten, die für die gelt, einfach gesprochen, den Umgang mit Daten Registrierung von Domains und IP-Netzen not- von „natürlichen Personen“ auf der Basis einiger wendig sind, konkret die Namen und Kontaktinfor- Grundsätze, die allerdings auch schon im bisher mationen der jeweiligen Inhaber und Ansprech- gül tigen Datenschutzgesetz adressiert wurden. Die personen. Diese Daten sind über eine spezielle wichtigsten dieser Prinzipien sind: Schnittstelle – das „whois“-Service der .at-Domain verwaltung – öffentlich einsehbar. Auf diesem Weg Die Verarbeitung personenbezogener Daten ist nur waren bisher Inhaber und Kontaktinformationen unter bestimmten Voraussetzungen zulässig – im von Domains jederzeit abfragbar, und zwar unab- Wesentlichen dann, wenn dafür eine Einwilligung hängig davon, ob der Inhaber eine Privatperson, gegeben wurde, wenn die Daten zur Erfüllung ei- eine Firma oder eine Behörde ist. nes Vertrages bzw. einer rechtlichen Verpflichtung notwendig sind oder wenn spezielle Interessen Seit dem Inkrafttreten der DSGVO ist es nicht mehr (z. B. öffentliches Interesse, lebenswichtiges Inter- möglich, diese Daten undifferenziert der Öffent- esse) gewahrt werden müssen. lichkeit anzuzeigen. Wie eingangs dargestellt, geht es bei der DSGVO explizit um personenbezogene Sind diese Voraussetzungen gegeben, müssen bei Daten (also die Daten von natürlichen Personen), der Datenverarbeitung bestimmte Regeln nach nicht aber um Daten einer Firma. Daher ist nun weis lich eingehalten werden, andernfalls kann die prinzipiell zwischen diesen Kategorien zu unter- Nichteinhaltung geahndet werden. Diese Regeln scheiden und darauf zu achten, dass die Daten spezifizieren, dass mit den verwendeten Daten von Privatpersonen gesondert behandelt werden. „pfleglich“, also verantwortungsvoll, umgegangen werden muss. So dürfen die Daten nur für einen Domains festgelegten Zweck verarbeitet werden, nur die da- für unbedingt notwendigen Daten dürfen erfasst Die folgenden Beispiele illustrieren zwei unter- werden und diese nur so lang wie nötig verwendet schiedliche Szenarien aus dem Bereich der Do- und gespeichert werden. Insbesondere ist auf Ver- mainvergabe: einerseits die von einer natürlichen traulichkeit zu achten. Die gespeicherten Daten Person unter .at registrierte Domain, andererseits sind auf Anfrage zu beauskunften, zu aktualisieren, die von einer juristischen Person unter .ac.at regis- zu korrigieren oder gegebenenfalls zu löschen. trierte Domain.

28 | Services domain: papst.at domain: univie.ac.at registrar: registrar: registrant: registrant: UWZI7674410-NICAT tech-c: admin-c: tech-c: UH1428893-NICAT [ – technische Details gelöscht – ] tech-c: UN566897-NICAT

changed: 20071218 15:33:22 [ – technische Details gelöscht – ] source: AT-DOM changed: 20190109 10:47:49 Abb. 1 (oben): whois-Output – source: AT-DOM Domain einer natürlichen Person unter .at personname: Abb. 2 (rechts): whois-Output – organization: Universitaet Wien Domain einer juristischen Person unter .ac.at (Zentraler Informatikdienst) street address: Universitaetsstrasse 7 postal code: 1010 .at city: Vienna Da es sich in diesem Szenario um die Domain country: Austria einer natürlichen Person handelt und diese Per- phone: +431427714277 son nicht explizit eine Offenlegung der Daten fax-no: +431427714279 beantragt hat, werden alle personenbezogenen e-mail: [email protected] Daten ausgeblendet – sowohl die des Domain- nic-hdl: UWZI7674410-NICAT inhabers als auch die der weiteren Kontakte. changed: 20101202 21:00:00 Abbildung 1 zeigt den (gekürzten) whois-Out- source: AT-DOM put für dieses Beispiel. personname: UNIVIE Hostmaster organization: .ac.at street address: Universitaetsstrasse 7 Domains unter .ac.at werden ausschließlich an postal code: 1010 Organisationen, also juristische Personen, ver- city: Vienna geben. In diesem Szenario können die Daten country: Austria also vollständig dargestellt werden. Interessant phone: +431427714277 an diesem Beispiel ist, dass der administrative fax-no: +431427714279 Kontakt (admin-c) eine natürliche Person ist e-mail: [email protected] und deshalb ausgeblendet wird. Hingegen sind nic-hdl: UH1428893-NICAT die technischen Kontakte (tech-c) sogenannte changed: 20180201 16:15:02 „Rollen“. Diese Daten sind keiner natürlichen source: AT-DOM Person zugeordnet und werden daher vollstän- personname: UNIVIE Netadmin dig angezeigt (siehe Abbildung 2). organization: street address: Universitaetsstrasse 7 IP-Adressen & AS-Nummern postal code: A-1010 city: Vienna Ein weiterer Bereich, in dem ACOnet Daten er- country: Austria fasst, speichert und weiterleitet, ist unsere Local phone: +431427714030 Internet Registry (LIR) zur Vergabe von global fax-no: +43142779140 eindeutigen IP-Adressen und Autonomous Sys- e-mail: [email protected] tem (AS) Numbers. Dieses Service für ACOnet- nic-hdl: UN566897-NICAT Teilnehmerorganisationen wird im Rahmen ei- changed: 20050909 09:23:41 nes Vertragsverhältnisses mit dem RIPE NCC in source: AT-DOM

DSGVO: Auswirkungen auf Registries und ACOnet | 29 Amsterdam erbracht. Das RIPE NCC als (überge- nur jene Daten erfasst und gespeichert werden, die ordnete) Regional Internet Registry führt das Ver- für den Betrieb des Netzverbundes, für einzelne zeichnis der vergebenen, global eindeutigen „In spezifische Services und zur Kontaktaufnahme bei ternet Number Resources“ und macht diese Infor- Betriebsstörungen oder sicherheitsrelevanten Vor- mationen ebenfalls über ein whois-Service – ähn- fällen notwendig sind. Diese Daten werden lau- lich wie in der Welt der Domains – zugänglich. fend überprüft und aktualisiert und nach einem geordneten Ende der Teilnahme an ACOnet entfernt. Die ACOnet-LIR erfasst nur jene Daten (und leitet sie nach Amsterdam weiter), die im Rahmen des Im Gegensatz zu den whois-Services der Domain „RIPE NCC Standard Service Agreement“ und der und Number Registries werden diese Daten – be- RIPE Policies vereinbart sind. Im Rahmen dieses sonders jene, die der DSGVO unterliegen – nicht Ver tragsverhältnisses hat die ACOnet-LIR die Ver- öffentlich zugänglich gemacht und grundsätzlich pflichtung, die Daten für die Registry aktuell und nicht weitergegeben, außer die Weitergabe ist im richtig zu halten und gegebenenfalls zu entfernen. Rahmen eines Vertragsverhältnisses oder einer Ver- einbarung für ein spezifisches Service notwendig. Der Betrieb der Regional Internet Registry in den Niederlanden unterliegt selbstverständlich ebenfalls den Vorgaben der Datenschutzgrundverord- nung und den nationalen Gesetzen. Eine Samm- lung von Artikeln zum Umgang des RIPE NCC mit Gerhard Winkler diesen Vorgaben ist unter https://labs.ripe.net/ Teamleiter Members/Athina zu finden. Internet Domain Administration ACOnet-Betrieb & spezifische Services Last but not least sind für den geordneten Betrieb von ACOnet auch technische und administrative Informationen über die teilnehmenden Organisa Wilfried Wöber tionen und die jeweiligen Kontaktpersonen, sowie ACOnet Daten im Rahmen der Vertragsverhältnisse für ein- Security, Training, Consulting zelne Services notwendig. Wie auch schon vor dem Inkrafttreten der DSGVO gilt das Prinzip, dass

30 | Services European Open Science Cloud: Startschuss in Wien

Am 23. November 2018 fand im Rahmen der österreichischen EU-Ratspräsidentschaft im Großen Lesesaal der Universität Wien der „Launch Event“ der European Open Science Cloud (EOSC) statt. Die EOSC soll zukünftig dafür sorgen, dass Forschungsergebnisse aus EU-geförderten Projekten für eine weitere Nutzung verfügbar sind.

2015 begannen die Vorarbeiten zur European search, Science and Innovation, sagte in der Video Open Science Cloud (EOSC)1), mit der ein digitaler botschaft, die er zum Launch Event nach Wien Binnenmarkt für Forschungsdaten entsteht. Die Eu- sendete: „Science should have no borders.“2) ropäische Union hat in den letzten 10 Jahren mit Moedas stellte eine Verbindung zu Kaffeehäusern mehr als 120 Milliarden Euro verschiedenste For- des 16. Jahrhunderts her, in denen sich Personen schungsprojekte gefördert, in denen Daten produ- unterschiedlichster Herkunft trafen und Ideen aus- ziert wurden. Diese sollen künftig über die EOSC tauschten. Die EOSC ist ein Ort, an dem man für Folgeprojekte aus Forschung und Wirtschaft zur Daten von öffentlich geförderten Forschungspro- Nachnutzung bereitgestellt werden. jekten finden kann – und jeder darf diese nutzen.3)

Dazu bedarf es nicht nur einer entsprechenden Über das EOSC-Portal, das (inklusive Anwendun- Infrastruktur, sondern auch genauer Spielregeln, gen) ebenfalls am Launch Event in Wien vorgestellt die definieren, wie die unterschiedlichen Stake- wurde, können bereits Daten abgerufen werden. holder zusammenarbeiten können. Daher ist die EOSC keine Cloud im herkömmlichen Sinne, son- Daten stehen im Zentrum dern vielmehr ein Prozess, der darauf abzielt, den Übergang zu einem offenen und innovativen digi- Die EOSC vereinigt Dienste und Archive für For- talen Binnenmarkt zu schaffen, in dem Forschung schungsdaten, damit diese effektiv aufbereitet und unterstützt wird und Kooperationen mit der Wirt- geteilt werden können. Sie kann über drei Kernele- schaft möglich sind. Mit der EOSC werden ver mente begriffen werden: Dateninfrastruktur zum trauenswürdige Dienste, Systeme und Archive für Speichern und Verwalten von Daten, Netzwerk Daten etabliert, die über Forschungsdisziplinen infrastruktur mit hoher Bandbreite sowie leistungs und geografische Grenzen hinweg genutzt werden fähige Computersysteme, um die Daten zu verar- können. Dabei sollen keine neuen Infrastrukturen geschaffen, sondern bereits existierende zusam- mengeführt werden.

„Science should have no borders“ Die EOSC wurde am 23. November 2018 mit einem feierlichen Launch Event im Großen Lese saal der Universitätsbibliothek Wien offiziell gestartet. Carlos Moedas, EU Commissioner for Re

Foto: Der EOSC Launch Event an der Universität Wien (© Joseph Krpelan) beiten. Zusätzlich spielen auch die FAIR-Prinzi- pien für Daten eine wesentliche Rolle: Im Kontext nachhaltigen Datenmanagements sind diese Prin- zipien ein Leitmotiv und für die EOSC von hoher Bedeutung. FAIR steht für „Findable, Accessible, Interoperable, Reuseable“ und zielt damit unter anderem auch auf einen maschinellen Zugang zu den Daten ab. Mit zunehmender Automatisierung wird es immer wichtiger, dass nicht nur Menschen auf Inhalte zugreifen können, sondern auch Appli- kationen einen guten Zugang erhalten. Das FAIR- Prinzip für Daten wurde von Beginn an als Grund- Prominente Gäste beim EOSC Launch Event: Vizerektorin Regina Hitzenberger (Universität Wien), lage der EOSC gesehen: „The EOSC is indeed Euro- Bundesminister Heinz Faßmann (BMBWF), pean, but it should also be interoperable with the Generaldirektor Jean-Eric Paquet (GD für Forschung und Innovation Internet of FAIR data and services and be an acces- der EU-Kommission), Sektionschefin Barbara Weitgruber (BMBWF) sible infrastructure for modern research and inno- 1/Seite 8) (© Joseph Krpelan) vation.“

1) European Commission: Realising the European Open Austria takes initiative Science Cloud. First report and recommendations of the Am 30. Oktober 2018 gab es in Wien bereits eine Commission High Level Expert Group on the European Open Science Cloud. Luxembourg: Publications Office Vorgängerveranstaltung zum Launch Event. Diese of the European Union, 2016. fand ebenfalls an der Universität Wien statt, stand https://ec.europa.eu/research/openscience/pdf/ unter dem Motto „Austria takes initiative“ und realising_the_european_open_science_cloud_2016.pdf ganz im Zeichen österreichischer Infrastrukturen 2) Videomessage von Carlos Moeda im Video „Introduction und Services, die im Sinne der EOSC Forscherin- and Welcome: EOSC Launch Event“ (Start bei 00:16:07): nen und Forscher unterstützen. Bei dieser Veran- https://phaidra.univie.ac.at/o:918356 staltung wurden Projekte vorgestellt, die alle be- 3) Digital „coffeehouse“ to spark new scientific ideas now reits im Sinne der EOSC agieren: Hochschulraum- ready for use; Horizon – The EU Research & Innovation Strukturmittel-Projekte wie z. B. e-Infrastructures Magazin: Austria4) und kooperative Infr astrukturen wie der https://horizon-magazine.eu/article/digital-coffeehouse- 5) spark-new-scientific-ideas-now-ready-use.html Vienna Scientific Cluster , aber auch Infrastruktu- ren, die direkt mit der EOSC zusammenhängen – 4) Webauftritt des Projekts e-Infrastructures Austria: z. B. AUSSDA6), das Austrian Social Science Data https://www.e-infrastructures.at/ Archive. AUSSDA ist ein Teil von CESSDA (Consor- 5) Webauftritt des Vienna Scientific Cluster:https://vsc.ac.at/ tium of European Social Science Data Archives), 6) Webauftritt des Austrian Social Science Data Archive: jener Organisation, die den Bereich der Sozialwis- https://aussda.at/ senschaften in der EOSC vertritt. Alle Vorträge der 7) Videos der Veranstaltung „The European Open Science Veranstaltung können über die Homepage des 7) Cloud: Austria takes initiative“: Events abgerufen werden. https://eosc18-ati.univie.ac.at/programme/ 8) The Vienna Declaration on the European Open Science Vienna Declaration Cloud. Vienna, 23. 11. 2018. https://phaidra.univie.ac.at/view/o:918643 Am Launch Event der EOSC in Wien wurde die 9) Webauftritt des EOSC Launch Events: große Vision von mehreren Seiten präsentiert. Die https://eosc-launch.eu/ ersten Ergebnisse zeigen, wie das EOSC-Portal den

32 | Services Weg für die Zukunft vorbereitet. Es wurden sowohl Open Science Cloud“.8) Der gesamte Event wurde die Governance-Struktur als auch die nächsten aufgezeichnet und kann über die Website abge Schritte vorgestellt, die die EOSC zu einem erfolg- rufen werden.9) reichen „Digital Marketplace“ für ForscherInnen aus Europa und darüber hinaus machen sollen.

Zum Abschluss der Veranstaltung präsentierten Raman Ganguly Bundesminister Heinz Faßmann, Karina Angelieva (stellvertretende Ministerin für Bildung und For- Universität Wien / ZID schung in Bulgarien) sowie Ciprian Preda (Staats- Leiter der Stabsstelle „Software sekretär für Forschung und Innovation in Rumä- Design & Development“ nien) „The Vienna Declaration on the European

IaaS Cloud Services 2018

Das GÉANT „IaaS Cloud Services“ Framework (siehe Jahresbericht 2017 ab Seite 30) wurde laut Rückmel- dung der Anbieter im Jahr 2018 von sechs ACOnet-Teilnehmerorganisationen in einem Gesamtumfang von rund 111.000 Euro in Anspruch genommen – offenbar vorwiegend zum Testen und Erfahrungen sammeln.

ACOnet-seitig haben wir 2018 an der Verbesse- Im Rahmen der Aktivitäten zur „European Open rung unserer IaaS-Dokumentation gearbeitet (siehe Science Cloud“ soll unter dem 2018 initiierten https://www.aco.net/geant-iaas.html) sowie als OCRE-Projekt (Open Clouds for Research Environ- Pilot-Teilnehmer an der Vereinfachung des Zugriffs ments, https://www.ocre-project.eu/) im Laufe des auf die – mittlerweile DSGVO-kompatiblen – Ver- Jahres 2019 eine weitere Rahmenvertrags-Aus- tragsdokumente des GÉANT „IaaS Cloud Services“ schreibung für Cloud-Ressourcen stattfinden – Framework per halbautomatisiertem Formular mit- diesmal in einer Kooperation von GÉANT, CERN gearbeitet. Unser Ferialpraktikant Fabian Jusufi hat und weiteren Projektpartnern. ACOnet wird sicher zusätzlich eine Wiki-Dokumentation zum Thema stellen, dass alle Teilnehmerorganisationen wieder „IaaS Cloud Services“ aus Sicht der Universität Wien Zugriff auf die Ergebnisse haben. erstellt (https://wiki.univie.ac.at/display/iaas). Rückfragen zu unseren Cloud-Aktivitäten richten Der ZID der Universität Wien hat Mitte 2018 ein Sie bitte an die Mailadresse [email protected]. Projekt gestartet, das eine Empfehlung für eine „Cloud-Strategie“ für das Rektorat der Universität Wien erarbeiten soll. Im Zuge dieses Projekts wird auch eine Abstimmung und Zusammenarbeit mit anderen Universitäten angestrebt. Ein erster Infor- Christian Panigl mationsaustausch dazu hat am 27. 11. 2018 an der Universität Wien stattgefunden; VertreterInnen von Abteilungsleiter ACOnet & VIX zwölf österreichischen Universitäten haben daran teilgenommen.

IaaS Cloud Services 2018 | 33 Partnership for Advanced Computing in Europe

Österreich ist seit Juli 2018 Mitglied von PRACE, dem Partnership for Advanced Computing in Europe, wo- durch Forschende Zugang zu europäischen Höchstleistungsrechnern bekommen. Der ACONET-Verein als Vertreter eines Konsortiums österreichischer Universitäten ist der institutionelle österreichische Repräsen- tant im PRACE-Rat.

Seit 11. Juli 2018 ist Österreich – vertreten durch schafts relevanten Themen zu beantworten. Sie den ACONET-Verein – Mitglied des europäischen werden für Simulationen eingesetzt (z. B. wenn Supercomputing-Netzwerks PRACE (Partnership for reale Experimente zu lange dauern würden, zu ge- Advanced Computing in Europe, www.prace-ri.eu). fährlich oder zu teuer wären oder aus anderen Dadurch eröffnen sich neue Möglichkeiten im Be- Gründen nicht durchführbar sind), aber auch als reich „High Performance Computing“ (HPC) für Ergänzung zu tatsächlich durchgeführten Experi- Forschende und Studierende in Österreich. menten. Wettervorhersagen und Klimaforschung, Astrophysik, Strömungsmechanik, Materialwissen- Spitzenforschung mit Supercomputern schaften, Medizin und Pharmazie sind nur einige der Gebiete, für die der Zugang zu Supercompu- Ohne Höchstleistungsrechner ist Spitzenforschung tern extrem wichtig ist. kaum mehr möglich. Höchstleistungsrechner, auch Supercomputer genannt, werden verwendet, um Internationale Zusammenarbeit hochkomplexe und datenintensive Fragen aus Grundlagenforschung und Technik sowie zu gesell Derzeit gibt es hierzulande zwei Hochleistungs- rechner, die jeweils von einem Konsortium öster- reichischer Universitäten betrieben werden: den Vienna Scientific Cluster (VSC, vsc.ac.at) in Wien Austria joined PRACE und MACH-2, ein Shared-Memory-System in Linz (siehe Seite 53). „The PRACE Council is very pleased to welcome Austria as a member of PRACE and is looking for- Durch den PRACE-Beitritt stehen Forschenden nun ward to a fruitful collaboration. By joining PRACE, noch schnellere und leistungsstärkere Maschinen Austria sends a strong signal that it supports the zur Verfügung, um noch komplexere wissenschaft- scientific and industrial application of HPC at the liche Fragestellungen beantworten zu können. Wie das Bundesministerium für Bildung, Wissenschaft highest level. The Austrian research community und Forschung betont, ist dies ein „Zwischen- will benefit in many ways from having access to schritt“, bis Ende 2020 die ersten Systeme im the tip of the European HPC ecosystem.“ Rahmen von EuroHPC bereitstehen werden. Das Ziel von EuroHPC ist die Stärkung europäischer Prof. Dr. Dr. Thomas Lippert, IT- und HPC-Aktivitäten, um im wissenschaftlic hen Chair of the PRACE Council Wettbewerb mit den USA und Asien im Spitzen- feld bestehen zu können.

34 | Services Fotos: Österreichs Vertreter im PRACE Council: links Delegate Christoph Dellago (© Universität Wien / Barbara Mair), rechts Advisor Alexander Ostermann (© Universität Innsbruck)

Grafik: PRACE Fact Sheet (© PRACE)

PRACE-Forschungsinfrastruktur wähnt werden soll hier der sogenannte „Prepara- tory Access“, der die Optimierung und Skalie Das Ziel von PRACE ist es, grundlegende wissen- rungs tests der eigenen Applikationen (mit oder schaftliche Erkenntnisse und die Entwicklung der ohne ExpertInnen-Unterstützung) ermöglicht. Ingenieurwissenschaften durch Höchstleistungs- rechner-Ressourcen zu unterstützen. Die europa- PRACE entfaltet zudem eine Reihe von thematisch weit nutzbare Forschungsinfrastruktur von PRACE verwandten Aktivitäten wie ein europaweites Kurs besteht derzeit aus sieben Supercomputern, die programm durch zehn „PRACE Training Centers“, von fünf Ländern (Deutschland, Frankreich, Ita- Sommerschulen, Arbeitsgruppen und Kooperatio- lien, Schweiz und Spanien) zur Verfügung gestellt nen zu Themen wie Beschaffung von Rechnersys- werden. Der Zugang zu diesen Supercomputern temen, neue Technologien und Energieeffizienz. ist durch ein internationales Peer-Review-Verfah- ren möglich, wofür zweimal jährlich (im Frühling ACONET-Verein vertritt Österreich und im Herbst) ein Einreichungsfenster für Projekt anträge bekannt gegeben wird. Formal ist Österreich durch den ACONET-Verein in PRACE vertreten. Das ist besonders zu begrüßen, Wissenschaft und Industrie weil praktisch alle österreichischen Forschungs- einrichtungen sowie zahlreiche andere Organisa Die PRACE-Forschungsinfrastruktur und alle Ser- tionen zu den ACOnet-Teilnehmern zählen. vices können sowohl von Forschenden aus dem akademischen Umfeld als auch von Teilnehmern • PRACE in Österreich: www.aco.net/prace aus der Industrie gleichermaßen verwendet wer- • PRACE Österreich Mailingliste: den. Für industrielle NutzerInnen gibt es zusätz- noc.aco.net/mailman/listinfo/prace lich die spezielle Förderschiene SHAPE, die sich • PRACE Webseite: www.prace-ri.eu vor allem an kleine und mittelständische Unter- nehmen richtet, sowie ab Frühjahr 2019 einen so- genannten „Improved Industry Access Track“ für Projektanträge. Claudia Blaas-Schenner PRACE-Services TU Wien / VSC Research Center  [email protected] Zur effizienten Nutzung der Supercomputer bietet PRACE auch weitere Services an. Besonders er-

Partnership for Advanced Computing in Europe | 35 DNSSEC für .ac.at

Das Domain Name System, kurz DNS, regelt die Zuordnung von Domainnamen (z. B. www.aco.net) zu IP-Adressen (z. B. 193.170.140.135) und bildet somit die Voraussetzung dafür, dass zur Identifizierung von Rechnern im Internet auch Domainnamen verwendet werden können. Das DNS ist ein Basis-Service des Internet. Sicherheitsaspekte wurden aber erst nachträglich – mit den DNS Security Extensions (DNSSEC) – implementiert.

Das ursprüngliche Design des DNS hatte mögliche zung, sodass der Aufbau dieser Infrastruktur suk- Probleme in Zusammenhang mit Sicherheit nicht zessive und gezielt vorangetrieben wurde. oder nur marginal im Fokus. Zum Zeitpunkt der Entwicklung des Dienstes standen Funktionalität Was bisher geschah und Performance im Vordergrund. Aspekte wie die ungewollte Offenlegung von Daten, Attacken oder Ein Grundprinzip von DNSSEC ist, dass von der Kompromittierung von Services stellten sich da- Wurzel des DNS-Namensbaumes (Root) über die mals nicht in der heutigen Form. Im Laufe der Zeit Top-Level-Domains bis hin zu den Teilnehmer- gewannen diese Fragen aber zunehmend an Be- Domains eine „Chain of Trust“ gebildet wird, also deutung, und sie werden weiterhin immer wichti- eine Vertrauenskette, wo stets die übergeordnete ger. Es musste daher zusätzliche Funktionalität in Zone für die nächste delegierte („niedrigere“) Zone das DNS gebracht werden – primär mit dem Ziel, bürgt. Dies wird durch kryptografische Methoden die Sicherheit zu erhöhen. Nach einer langen Ent- mittels wohlbekannter asymmetrischer Verfahren wicklungszeit von etwa 10 Jahren wurden die (Private Key / Public Key) sichergestellt. RFCs („Requests for Comments“, die De-facto- Standards im Internet) zu DNSSEC (DNS Security Deshalb war es notwendig, mit der Signierung der Extensions) schließlich 2005 verabschiedet. Wurzel – also mit der Root-Zone – zu beginnen, was 2010 erfolgte. Der nächste Schritt war die Sig- DNSSEC löst einige Probleme im Zusammenhang nierung der Top-Level-Domain .at, die im Jahr mit Sicherheit, wie Authentizität (= Echtheit) und 2012 durchgeführt wurde. Damit war die Infra- Integrität (= Vollständigkeit) von Daten. Andere struktur geschaffen, um bei Bedarf auch darunter- Themen wie Vertraulichkeit werden allerdings liegende Zonen signieren zu können. nicht behandelt. Das bedeutet, dass DNSSEC zwar punktuell die Sicherheit des DNS verbessert, aber Allerdings war der Bedarf bzw. das Interesse für nicht die Lösung für alle Probleme darstellt. Dazu Domains in der Zone .ac.at zu diesem Zeitpunkt kommt, dass DNSSEC mit kryptografischen Me noch nicht nennenswert gegeben. Daher wurde thoden arbeitet, was einerseits einen zusätzlichen auf eine sofortige Signierung dieser Zone verzich- administrativen Aufwand (Key Management) und tet; dies bot zusätzlich die Möglichkeit, aus den Er- andererseits ein gewisses Risiko im operativen Be- fahrungen im Betrieb von .at zu lernen. Im Laufe reich mit sich bringt, da die Komplexität steigt. der letzten Jahre wurden jedoch neue Anwendun- gen entwickelt (bzw. fanden größere Verbreitung), Die Einführung von DNSSEC war und ist daher ein die DNSSEC benötigen. Eine Signierung von .ac.at lang andauernder Prozess; ein flächendeckender war nun unumgänglich, um allen BesitzerInnen Einsatz ist bis heute nicht gegeben. Für bestimmte von .ac.at-Domains die Möglichkeit zu geben, Anwendungen und neuere Funktionen ist die diese zu signieren und in die „Chain of Trust“ ein- DNSSEC-Infrastruktur allerdings eine Vorausset- zuhängen.

36 | Services Daher wurde Anfang 2018 die nötige Infrastruktur zur Signierung von .ac.at aufgebaut und getestet. Voraussetzungen Im Herbst 2018 wurde die signierte .ac.at-Zone schließlich in .at eingehängt. Seither können die Damit DNSSEC für eine .ac.at-Domain aktiviert ACOnet-Teilnehmerorganisationen bei Bedarf ihre werden kann, müssen folgende Vorbedingungen .ac.at-Domains signieren und DNSSEC nutzen erfüllt sein: (siehe Kasten rechts). Die betroffene .ac.at-Domain muss delegiert und aktiv sein. Stolpersteine ... Sie muss darüber hinaus bereits mit DNSSEC Abgesehen vom zusätzlichen operativen Aufwand signiert sein. liegt eine große Hürde bei DNSSEC darin, dass ein unmittelbarer Sicherheitsgewinn gerade für die Für die Übermittlung des DS-Records setzen EndanwenderInnen schwer darstellbar ist. Sie sich bitte mit dem Team „Internet Domain Administration“ in Verbindung (siehe unten). Einerseits fehlt es an flächendeckender Infrastruktur zur Validierung der DNSSEC-signierten Domains, Kontakt speziell in den Anwendungen und den Endgerä- ten. Selbst wenn dort eine solche Prüfung erfolgt, Bei Fragen dazu, oder auch generell zu DNSSEC, ist die „technisch richtige“ Konsequenz einer un- wenden Sie sich bitte an: gültigen Signatur (beispielsweise dass eine Web-  seite nicht angezeigt wird) für die betroffenen Be- [email protected] nutzerInnen häufig nicht hilfreich oder nicht- er wünscht. gesicherter DNS-Einträge in der Zone abzulegen. Andererseits gibt es – insbesondere im Bereich des Diese können dann verwendet werden, um eine „Surfens“ durch Webseiten – bereits mehrere alter- gesicherte Kommunikation zwischen Mailservern native Methoden, wie etwa Zertifikate, welche die aufzubauen – in der Form, dass TLS („Transport Sicherheit für die EndanwenderInnen erhöhen sol- Layer Security“) verwendet werden muss, also eine len. Damit konkurrieren dann aber verschiedene Kommunikation nur dann stattfindet, wenn gül- Ansätze um die Aufmerksamkeit der BenutzerIn- tige, validierende Zertifikate existieren. nen und produzieren Unsicherheiten im Hinblick darauf, welches Verfahren nun Sicherheit signali- Auch wenn die Verbreitung solcher weiterführen- siert oder welchem Verfahren wann zu trauen ist – den Verfahren nur langsam zunimmt: DNSSEC obwohl doch eine einfache, eindeutige Informa- bietet den nötigen Grundstock, um die Sicherheit tion oder Reaktion erwartet wird. im Internet durch neu entwickelte Methoden suk- zessive zu erhöhen. ... und neue Perspektiven Auf anderer Ebene allerdings wurden etliche Ver- fahren entwickelt, genormt und eingeführt, die auf der DNSSEC-Infrastruktur aufsetzen und in unter- Gerhard Winkler schiedlichen Bereichen zur Sicherheit beitragen. Teamleiter Hier ist explizit DANE („DNS-based Authentica- Internet Domain Administration tion of Named Entities“) hervorzuheben. DANE bietet die Möglichkeit, Zertifikate mittels DNSSEC-

DNSSEC für .ac.at | 37 38 Community

39 Meetings & Workshops

13. März 20. April 6. – 7. März 12. – 13. April

DNSSEC-Workshop CEE Peering Days 2018 16. KUKIT-Stammtisch 10. ArgeStorage-Meeting

CEE Peering Days 2018 KUKIT – Kunst, Kultur & IT

6. – 7. März 2018 16. KUKIT-Stammtisch Berlin/Deutschland 13. März 2018 Anton Bruckner Privatuniversität, Linz

Die „Central and Eastern European Peering Days“ 17. KUKIT-Stammtisch wurden 2018 im aufregenden Berlin abgehalten 23. Oktober 2018 und boten – wie immer – anregende Vorträge und Albertina, Wien Diskussionen sowie ausreichend Zeit für Networ- king und bilaterale Meetings. Auch im vergangenen Jahr nahmen wieder mehr als 200 internatio Das Thema des 16. KUKIT-Stammtisches in Linz nale Gäste an der zweitägigen Konferenz teil. Der wurde von Raman Ganguly, Leiter der Stabsstelle Schwerpunkt des Programms lag aus gegebenem „Software Design & Development“ am ZID der Anlass auf diversen Aspekten der EU-Datensc hutz- Universität Wien, vorgetragen: Datenmanagement Grund verordnung (DSGVO) sowie der EU-Richt und Langzeitarchivierung am Beispiel des Archiv linie zur Netz- und Informationssicherheit (NIS). systems Phaidra. Die TeilnehmerInnen wurden von Rektorin Ursula Brandstätter begrüßt. Dem Vortrag ging eine Führung durch das Haus voraus. Beson- CEE Peering Days ders beeindruckend war der Computermusik- Kon zertsaal „Sonic Lab“, der uns von Andreas Weixler Die Fachtagung wird seit 2013 einmal jährlich ver und Se-Lien Chuang präsentiert wurde. anstaltet und richtet sich primär an Internet Service Provider aus Österreich, Ungarn, der Tschec hischen Im Oktober 2018 waren wir zum zweiten Mal in Republik sowie aus dem zentral- und osteuro pä i der Albertina zu Gast. Einer Führung durch die ak- schen Raum. tuelle Ausstellung „Monet“ folgte eine moderierte Diskussion über Online-Plattformen für Kunst- Die Tagungsgäste setzen sich großteils aus Peering- und Kulturinstitutionen: Wo stehen wir? Was ist in- KoordinatorInnen, Cloud-AdministratorInnen so haltlich gewünscht und sowohl technisch als auch wie Netzwerk- und Datacenter-BetreiberInnen zu budgetär umsetzbar? Welche Erfahrungswerte hel- sammen. fen uns, neue Herausforderungen zu bewältigen, Das Programm ist eine Kombination aus techni- und wie können wir diese gemeinsam realisieren? schen Workshops, professionellen Präsentationen und Networking. Der KUKIT-Stammtisch wird über eine Mailingliste organisiert. Um sich für diese anzumelden, senden Alle Infos: www.peeringdays.eu Sie einfach eine E-Mail mit dem Betreff „subscribe“ an die Adresse [email protected].

40 | Community 6. Juni 7. Juni 25. Mai 18. Juni 19. Juni

14. – 15. Mai

DNS-Workshop 57. TBPG-Sitzung DNSSEC-Workshop DNSSEC-Workshop DNSSEC-Workshop 37. ArgeSecur-Meeting

ArgeStorage DNSSEC-Workshops

10. ArgeStorage-Meeting 20. April 2018 & 25. Mai 2018 12. – 13. April 2018 Universität Wien Universität Innsbruck 6. Juni 2018 11. ArgeStorage-Meeting FH Vorarlberg, Dornbirn 19. – 20. November 2018 Johannes Kepler Universität Linz 19. Juni 2018 Land Oberösterreich, Linz

Das Frühjahrsmeeting 2018 der ArgeStorage führte uns in den Westen Österreichs an die Universität DNS-Workshop Innsbruck. 25 Personen nahmen teil und kamen in den Genuss von acht Vorträgen. Neben den üblichen 18. Juni 2018 Themen (Ceph, OpenStack mit Ansible, Proxmox, Land Oberösterreich, Linz FreeNAS, Seafile etc.) wurde auch über Storage- Ausschreibungen und Parallele Filesysteme disku- tiert. NetApp hielt einen Gastvortrag über Storage- Die Workshops zu DNSSEC bzw. DNS wurden ge- GRID Webscale. Darüber hinaus gab es auch aus- meinsam mit Norbert Stubenvoll vom Magistrat reichend Zeit für Diskussionen. Wie bereits bei Wien und Wolfgang Breyha von der Universität den vorangegangenen Meetings absehbar wurde, Wien abgehalten – herzlichen Dank an beide! erweitert sich der Themenkreis zusehends in Rich- Norbert widmete sich hauptsächlich dem Thema tung Virtualisierungs- und Containertechnologien. Monitoring von DNSSEC und Wolfgang beleuch- tete die Bereiche DANE und Mailing. Bei den fünf Das Herbstmeeting fand an der Johannes Kepler Ganztags-Terminen wurden insgesamt 111 Teil- Universität Linz statt. 29 TeilnehmerInnen lausch nehmerInnen mit den Grundlagen von DNSSEC ten acht Vorträgen. Die Präsentationen umfassten bzw. DNS vertraut gemacht. wie der Themen aus dem Storage-Bereich wie iSCSI, Pure Storage, WAN Storage-Replizierung, Tape Li- Neben theoretischem Wissen wurde viel Wert auf braries und Object Storage bis hin zu CI/CD-Pipe- die Praxis und den täglichen Betrieb gelegt. Alle lines mit Ansible und GitLab und Monitoring von TeilnehmerInnen haben selbständig einen BIND- Storage-Infrastruktur. Diesmal gab es keinen Gast- Nameserver konfiguriert und eine Schulungsdo- vortrag. Langeweile kam dennoch nicht auf, da die main erfolgreich mit DNSSEC signiert. Es wurden TeilnehmerInnen zahlreiche Themen einbrachten. auch hilfreiche Tipps bezüglich Monitoring und Die Vortragenden erhielten auch einiges an Rück- Überwachung gegeben sowie auf mögliche Risi- meldungen aus dem Publikum. ken und Probleme von DNSSEC hingewiesen.

Meetings & Workshops | 41 23. Oktober 9. November 26. September 7. – 8. November 58. TBPG-Sitzung 19. – 20. November

Internet-Jubiläumsgala 17. KUKIT-Stammtisch 38. ArgeSecur-Meeting 11. ArgeStorage-Meeting

Technische Betriebs- Internet-Jubiläumsgala und Planungsgruppe 26. September 2018 Marx Palast, Wien 57. TBPG-Sitzung 7. Juni 2018 FH Vorarlberg, Dornbirn Im Jahr 2018 wurde nicht nur „100 Jahre Republik Österreich“ gefeiert, auch in Bezug auf das Inter- 58. TBPG-Sitzung net waren mehrere Jubiläen fällig: 7. – 8. November 2018 Wirtschaftsuniversität Wien • 30 Jahre Domainendung „.at“ • 20 Jahre Domain-Registrierungsstelle „nic.at“ und Online-Meldestelle „Stopline.at“ In der Frühjahrssitzung der TBPG konnte über den • 10 Jahre „CERT.at“ (Computer Emergency erfolgreichen Abschluss der Backbone-Umstellung Response Team Austria) im Jahr 2017 berichtet werden. Jedoch: Nach der Mi gration ist vor der Migration – dementsprechend Die nic.at GmbH nahm dieses geballte Auftreten wurden zugleich auch schon die Pläne für die In- von Jahrestagen zum Anlass, für ihre Mitarbeiter, betriebnahme „kurzer Verbindungen“ zwischen Freunde und Partner eine festliche Jubiläumsgala einzelnen Standorten vorgestellt (siehe Seite 19). im Wiener „Marx Palast“ zu veranstalten. ACOnet Bei der Herbstsitzung konnte hierzu dann eben- und der Vienna Internet eXchange waren als Mit- falls eine Erfolgsmeldung präsentiert werden. veranstalter bzw. Sponsoren beteiligt.

Ergänzt wurden die TBPG-Sitzungen durch Teilneh Stermann & Grissemann führten im Rahmen einer merbeiträge (z. B. „Internetrouter selbst gebaut aus Sonderausgabe von „Willkommen Österreich“ mit Serverhardware“ oder Berichte seitens des Kunst Showgästen aus der vergangenen und aktuellen historischen Museums Wien und des Landes Tirol Internetgeschichte durch den Abend. Dabei ent- über Netzwerksetups von eher unbekannten Her- lockten sie ihren Gästen interessante Details: So stellern) mit anschließenden Diskussionen in der verriet etwa Peter Rastl, ehemaliger ZID-Leiter der Arbeitsgruppe. Universität Wien und oft als „Vater des Internets in Österreich“ bezeichnet, dass er ursprünglich nicht Die Herbstsitzung wurde – wie im Zweijahres- an den Siegeszug des Internets geglaubt hatte. rhythmus üblich – gemeinsam mit der ArgeSecur durchgeführt. Die TeilnehmerInnen der beiden Unter den Gratulanten waren auch die deutsche Arbeitsgruppen für sich überschneidende Themen und die Schweizer Domain-Registrierungsstellen an einen Tisch zu bringen hat sich bewährt und DENIC und SWITCH, mit denen nic.at eine enge soll daher beibehalten werden. Zusammenarbeit pflegt.

Kunst & Kultur im Kontext eines NREN

Der von ACOnet und dem KHM-Museumsverband initiierte KUKIT-Stammtisch verfolgt das Ziel, die digitalen Herausforderungen von Kunst- und Kulturinstitutionen in Österreich gemeinsam zu meistern. Das ebenfalls von ACOnet ins Leben gerufene net:art coordination center hingegen agiert international, in Zu- sammenarbeit mit zahlreichen National Research and Education Networks (NRENs).

KUKIT extended legInnen von GARR und CESNET entwickelt. Der Beitrag, den ACOnet für diese faszinierende Ent- Im Juni 2018 diente die Reise zum TBPG-Treffen in wicklung leistet, schöpft aus den Ressourcen eines Dornbirn als Anlass für zwei Zwisc henstopps in international vielbeachteten Kulturlandes – mit all Salzburg und Bregenz. Hintergrund dafür war der seinen hervorragenden Kunst- und Kulturinstitutio- Wunsch, in Zukunft auch jene Kunst- und Kultur nen, Hochschulen und KünstlerInnen der perfor institutionen zu erreichen, die indirekt (d. h. über ma tiven und bildenden Kunst, die sich den Heraus Landes- und Stadtregierungen) an ACOnet ange- forderungen einer digitalen Welt stellen. bunden sind, um sie über die verschiedenen Ko- operationsmöglichkeiten zu informieren. Nach den Internationale Kooperationen ersten Meetings im Mozarteum Salzburg und bei der Vorarlberger Energienetze GmbH sollen diese Der Vortrag in Miami führte zu mehreren Projekten Treffen im Herbst 2019 fortgesetzt werden. mit Anilla Cultural, Cultural Ring Latin America– Europe in Urugay: Am 4° Congreso Internacional net:art coordination center Online de Educación y Nuevos Medios (Mai 2018) konnten wir „net:art | near in the distance 3“ gleich Bereits zum zweiten Mal folgten wir 2018 einer zweimal vorstellen. Im September 2018 unter- Einladung der New World Symphony nach Miami. stützten wir die Kooperation von Anilla Cultural Thema unseres Vortrags in der größten Orchester mit dem Ars Electronica Festival, die mit Live-Ein- akademie der USA war nicht nur unsere Produk- stiegen und Interviews das Festival der lateiname- tion „net:art | near in the distance 3“, sondern rikanischen Community präsentierte, und durften auch unser Plan, das net:art coordination center im KHM Wien die Konferenz „MuRe – Museo aufzubauen. Inzwischen ist beides unter https:// graphy Network. Results 2017“ bei exzellenter An- www.netart.cc/ umfassend dokumentiert. bindung international übertragen.

Seit 2013 beschäftigt sich ACOnet mit „performing arts over advanced networks“ (kurz net:art) – dem Traum, dass KünstlerInnen, die an verschiedenen Orten der Welt performen, in Echtzeit interagieren Renate Kreil können. Die Hochleistungsdatennetze, die dafür ACOnet notwendig sind, werden von NRENs betrieben. Kunst- und Kulturkommunikation Die Softwarelösungen, die dafür notwendig sind (z. B. LOLA und UltraGrid), wurden von den Kol-

Kunst & Kultur im Kontext eines NREN | 43 Neue ACOnet-Teilnehmer 2018

Pädagogische Hochschule Oberösterreich

44 Beiträge von ACOnet- Teilnehmern

45 Telepresence @ Austrian Universities

Die Medizinische Universität Innsbruck war Ende 2015 damit konfrontiert, in kurzer Zeit eine leistungs fähige Infrastruktur für Videokonferenzen aufbauen zu müssen. Aus dieser Anforderung entwickelte sich die Idee, im Rahmen eines HRSM(Hochschulraum-Strukturmittel)-Projekts auf Basis der ACOnet-Infrastruktur ein österreichisches Service nach dem Vorbild der Videoconferencing-Plattform des DFN aufzubauen.

Die österreichischen Universitäten sind traditionell Kapazität benötigt, um die Datenströme zu verar- gut vernetzt. Neben der Universitätenkonferenz beiten und an alle TeilnehmerInnen zu verteilen. und ihren verschiedenen Unterausschüssen (z. B. Forum Budget, Forum Lehre) gibt es für nahezu Eine zentrale Plattform alle Fachbereiche der universitären Administr ation Arbeitsgruppen, die dem Erfahrungsaustausch so- Ziel des HRSM-Projekts „Telepresence @ Austrian wie der gemeinsamen Innovation dienen. Universities“ ist es, für Österreich eine zentrale Basisa infr struktur zur verstärkten Nutzung von Vi- Meist finden hierzu 1–2 Mal pro Jahr Tagungen der deokonferenzen zu schaffen. Die Funktionsweise jeweiligen Gruppen statt, bei denen alle Teilneh- und die Implementierung des Dienstes orientieren merInnen an einem Ort sein müssen. Kurzfristig sich dabei an erfolgreichen Beispielen aus dem anberaumte und themenspezifische Treffen sind Bereich der nationalen Forschungsnetzwerke, wie (außerhalb des Ballungsraums Wien) schon alleine dem Service DFNconf des deutschen Forschungs- aufgrund der Anzahl der TeilnehmerInnen und der netzwerks. notwendigen Anreise schwierig zu koordinieren. Durch die Verfügbarkeit einer niederschwelligen E-Mail und Telefon Möglichkeit zur Nutzung von Telepresence-Tech- nologien soll der Austausch zwischen den Univer- Als Kommunikationsmittel werden vorwiegend sitäten über formelle Treffen hinaus gefördert wer- E-Mail oder Telefon verwendet, wobei der Diskurs den. Auch weitere Partner der Universitäten wie in einer größeren Gruppe meist asynchron und mit die Ministerien, das Bundesrechenzentrum oder Hilfe von Mailinglisten erfolgt. Selbst Telefonkon- die BBG sollen motiviert werden, auf Telepresence ferenzen mit mehr als drei TeilnehmerInnen kom- zurückzugreifen und Abstimmungs- oder Briefing- men vergleichsweise selten vor. Veranstaltungen vermehrt auch ohne die Notwen- digkeit einer Anreise nach Wien abzuhalten. Videokonferenzen werden nur gelegentlich für die universitätsübergreifende Zusammenarbeit ge- Die Nutzung der ACOnet-Infrastruktur, über die nutzt. Einerseits, weil die vorhandene Infrastruktur alle Universitäten und auch viele der Partner be- sehr inhomogen ist und mit unterschiedlichen reits direkt miteinander verbunden sind, ermög- technischen Standards (u. a. H.323, SIP) arbeitet. licht hierbei nicht nur eine hohe Qualität der Andererseits wird für Konferenz-Anrufe mit mehr Übertragung von Ton und Bild, sondern – durch als drei teilnehmenden Endpunkten eine zentrale den Aufbau als privates Netzwerk – auch einen Multipoint Control Unit (MCU) mit ausreichender hohen Grad an Sicherheit.

46 | Beiträge von ACOnet-Teilnehmern Partner des HRSM-Projekts „Telepresence @ Austrian Universities“ • ACOnet • Medizinische Universität Graz • Medizinische Universität Innsbruck • Medizinische Universität Wien • Technische Universität Graz • Universität für Bodenkultur • Universität für Musik und darstellende Kunst Wien • Universität Mozarteum • Veterinärmedizinische Universität Wien © Cisco

Umsetzung und Nutzung wobei vorwiegend einzelne Abstimmungstreffen abgehalten werden. Darüber hinaus gibt es auch Anfang 2017 wurde nach Vorliegen der Finanzie- einige regelmäßige NutzerInnen, die Sitzungen rungszusage durch das BMBWF mit dem Aufbau oder Lab-Meetings über die Infrastruktur des Pro- der zentralen Plattform und der Integration der jekts abwickeln. So finden z. B. die Sitzungen des Endpunkte bei den Projektpartnern begonnen. ACOnet-Lenkungsausschusses seit Ende 2017 ein- Zum Einsatz kamen hierfür Komponenten aus dem mal pro Monat und zum Großteil über Videokon- Telepresence-Portfolio der Firma Cisco, da diese ferenz statt. im Rahmen von Tests, die von der Medizinischen Universität Innsbruck bereits 2015/16 durchge- Ausblick führt worden waren, bei der Integration von SIP- und H.323-Endpunkten diverser Hersteller am Derzeit entsteht eine zentrale Dokumentation für besten abgeschnitten hatten. das Projekt, die, abgesehen von Informationen über das System und diversen Anleitungen, vor allem Die Plattform stellt derzeit fünf virtuelle Räume die Kompatibilität mit Endpunkten diverser Her- für die Abhaltung von Videokonferenzen mit ins- steller widerspiegeln soll. Mit Verfügbarkeit der gesamt maximal 25 TeilnehmerInnen bereit. Die Buchungsplattform ist zudem geplant, an den be- Einwahl in Konferenzen ist mittels SIP und H.323 teiligten Universitäten die MitarbeiterInnen über von professionellen Telepresence-Endpunkten ver das Service breiter zu informieren. schiedener Hersteller aus möglich. Darüber hinaus kann mittels WebRTC von jedem modernen Brow- Parallel dazu wird im Augenblick eine Integration ser aus sowie über Telefon teilgenommen werden. des Systems mit der „Webex Teams“-Plattform so- Die lokalen Systeme wurden vor allem nach dem wie die Nutzung der dazugehörigen Endpunkte Gesichtspunkt einer möglichst einfachen Bedie- getestet. Ein solcher Zusammenschluss hätte nicht nung durch die EndanwenderInnen ausgewählt nur den Vorteil einer stärkeren Personalisierung und konfiguriert. des Service, sondern eröffnet auch neue Anwen- dungsgebiete wie beispielsweise die Abhaltung Über eine Buchungsplattform, die derzeit an der von Lehrveranstaltungen und Trainings. Technischen Universität Graz entsteht, wird es allen universitären NutzerInnen möglich sein, einen von fünf weiteren Konferenzräumen auf der An- lage zu reservieren und für Videokonferenzen zu Christoph Wild nutzen. Die Anmeldung am System wird dabei über die ACOnet Identity Federation erfolgen. Medizinische Universität Innsbruck Leiter Informationstechnologie Aktuell wird das Telepresence-Service bereits von  [email protected] verschiedensten Projekten und Gruppen genutzt,

Telepresence @ Austrian Universities | 47 Statistik Austria: Katastrophenvorsorge via ACOnet-Backbone

Statistik Austria nutzt das Zentrale Ausweichsystem des Bundes (ZAS) in St. Johann im Pongau seit Ende der 1970er Jahre für die Auslagerung der Datensicherung. Seit 2018 erfolgt die Datenauslagerung über eine redundante, breitbandige ACOnet-Anbindung, was den Nutzen dieser Infrastruktur drastisch erhöht.

Statistik Austria ist in Österreich für die Erstellung rungen erfolgten lange Zeit mittels Sicherungen der amtlichen Statistik zuständig. Das bedeutet, auf Magnetbändern, die physisch an den Kata objektive, nach wissenschaftlichen Methoden ge strophenvorsorgestandort ZAS transportiert und wonnene statistische Informationen für Politik, eingelagert wurden (dieses Verfahren ist auch un- Ver waltung, Wirtschaft, Medien und für alle Bür- ter dem Namen PTAM oder „Pickup Truck Access gerInnen bereitzustellen. In dieser Rolle hat die Method“ bekannt). Einhaltung der Informationssicherheit für Statistik Austria einen sehr hohen Stellenwert. Damit im Katastrophenfall auf die Daten zuge griffen und der Betrieb kritischer Systeme gewähr- Um das Schutzziel der Verfügbarkeit gegenüber leistet werden kann, wurde von Statistik Austria – Risiken (wie beispielsweise dem Datenverlust wie auch von anderen Institutionen der öffent durch Brand) abzudecken, werden seit Ende der lichen Verwaltung – ein gemeinsam genutztes 1970er Jahre Datenauslagerungen in das Zentrale „Cold Standby“-Mainframe-System (d. h. ein bei Aush weic system des Bundes (ZAS) in St. Johann Bedarf manuell in Betrieb gesetzter Großrechner im Pongau vorgenommen. Diese Datenauslage- am ZAS) verwendet.

ZAS ACOnet-Backbone Statistik Austria

Ver- Ver- schlüsselung DWDM DWDM CWDM CWDM schlüsselung

Wien1 (Universität Wien) Router LACP LACP Router Wien21 (Interxion)

Ver- Ver- schlüsselung DWDM DWDM CWDM CWDM schlüsselung

Akronyme: CWDM = Coarse Wavelength Division Multiplexing | DWDM = Dense Wavelength Division Multiplexing | LACP = Link Aggregation Control Protocol | ZAS = Zentrales Ausweichsystem des Bundes

48 | Beiträge von ACOnet-Teilnehmern Datenauslagerung via Netzwerk sion Multiplexing“). Diese CWDM-Verbindungen über tragen neben der 10 Gbit/s-Datenverbindung Erst als Mitte der 2000er Jahre die Bandbreite für für den Standort ZAS auch den Internet-Uplink von Anbindungen via WAN („Wide Area Network“) er- ACOnet sowie andere Services. schwinglich wurde, konnte die Auslagerung der Datensicherung auf netzwerkbasierte Methoden Netzwerkverschlüsselung umgestellt werden. Die höhere Frequenz der Da tenauslagerungen und der Wegfall des physischen Die Datenverbindung zum ZAS läuft sowohl über Transports reduzierten sowohl das RPO („Recovery den ACOnet-Backbone als auch über gemietete Point Objective“ – der Zeitraum zwischen der letz- WAN-Leitungen. Daher ist auch hier das Informa ten Datensicherung und dem Fehlerereignis) als tions sicherheitsschutzziel der Vertraulichkeit zu auch den Aufwand, zumal die Manipulation und gewährleisten. Um ein Abhören des Datenverkehrs Verwaltung der Datenträger entfiel. zu verhindern, wurde die etablierte Netzwerk-Ver- schlüsselungsinfrastruktur auf die beiden redun Aus Kostengründen war jedoch die Bandbreite be- danten 10 Gbit/s-Verbindungen erweitert. Die zwei grenzt und somit ein limitierender Faktor für die verschlüsselten Verbindungen sind mittels LACP Durchlaufzeit und das Volumen der Datensiche- („Link Aggregation Control Protocol“) zu einem rung. Auch die fehlende Redundanz hatte bei der Port Channel zusammengefasst und bilden eine Wartung der Netzwerkverbindung einen direkten sichere und hochverfügbare Netzwerkverbindung Einfluss auf die Durchführung der Datenauslage- zwischen den Standorten in Wien und dem ZAS. rung und daher auch auf das RPO. Die Umsetzung dieser redundanten Netzwerkver- bindungen erfolgte im zweiten Halbjahr 2018. Aktuelle Anbindung Fazit Mit dem Ausbau des ACOnet-Backbones im Jahr 2017 boten sich neue Möglichkeiten, das Rechen- Die Nutzung der neuen Backbone-Infrastruktur zentrum von Statistik Austria und den Katastrophen von ACOnet brachte für Statistik Austria eine Er vorsorgestandort netzwerkmäßig zu verbinden: höhung der Bandbreite sowie eine höhere Ausfall ACOnet-Teilnehmer haben die Möglichkeit, zwi- sicherheit der Verbindungen aufgrund der wege schen zwei Backbone-Standorten eine dedizierte redundanten Streckenführung – ohne Einbußen im (private) Punkt-zu-Punkt-Verbindung über DWDM Bereich der Vertraulichkeit. Durch die Steigerung („Dense Wavelength Division Multiplexing“) mit der Redundanz können die am Standort ZAS für einer Bandbreite von 10 Gbit/s oder 100 Gbit/s zu die Katastrophenvorsorge verfügbaren Infrastruktur- nutzen – und das ZAS war nun ein vollwertiger Komponenten nun besser genutzt werden. Auch ACOnet-Standort. finanziell ist diese Lösung sehr attraktiv: Trotz einer Steigerung der Bandbreite um den Faktor 10 liegt Um das aktuelle Datenaufkommen, das geplante die Amortisationszeit unter einem Jahr. Wachstum und eine Erhöhung der Verfügbarkeit abzudecken, wurden für Statistik Austria zwischen Wien und St. Johann im Pongau zwei wegeredun- dante Punkt-zu-Punkt-Verbindungen mit jeweils Richard Plasun 10 Gbit/s Bandbreite realisiert (siehe Grafik auf Seite 48). Die Anbindung des Rechenzentrums von Statistik Austria / IT-Abteilung Statistik Austria an die beiden ACOnet-Standorte Stellvertretender IT-Leiter Wien1 (Universität Wien) und Wien21 (Interxion)  [email protected] erfolgt mittels CWDM („Coarse Wavelength Divi-

Statistik Austria: Katastrophenvorsorge via ACOnet-Backbone | 49 Missbräuchliche Nutzung des Tor-Netzwerks

Das Institut für Netzwerke und Sicherheit (INS) betreibt an der Johannes Kepler Universität in Linz einen Tor Exit-Knoten und untersucht, wie dieser genutzt wird. Im letzten Jahr wurde spezifisch der DNS-Traffic analysiert und nach verschiedenen Aspekten ausgewertet – z. B. dahingehend, ob es nationale Unter- schiede gibt (ja, gibt es) und wie es mit missbräuchlicher Nutzung aussieht. Dieser Beitrag berichtet über den zweiten Punkt: Malware bzw. Angriffe über (aber nicht auf) Tor Exit-Knoten.

Das INS untersuchte 2018 an seinem Tor Exit-Kno- können und um die DNS-Anfragen vom Eingangs- ten insbesondere die Nutzung von DNS. Hinter- bzw. Ausgangs-Datenverkehr strikt zu trennen. grund ist, dass DNS-Abfragen („Welche IP-Adresse gehört zu welchem Domainnamen?“) in jedem Fall Untersuchungen & Ergebnisse unverschlüsselt erfolgen und genauer sind als eine bloße Untersuchung der Ziel-IP-Adressen. Die Festgestellt wurde z. B. Reverse DNS Scanning, Daten wurden über einen separaten DNS-Server also die systematische Abfrage, ob zu ganzen Sub- aufgezeichnet, um das Caching beeinflussen zu netzen Domainnamen existieren. Konkret betraf dies drei spanische Universitäten sowie die spanische Post. Hierbei handelte es sich jeweils um /16-Subnetze, die binnen kürzester Zeit (fast) voll- Das Tor-Projekt der JKU ständig abgefragt wurden. Dass es sich tatsächlich um einen Scan handelte, war daraus abzulesen, Tor ist ein Anonymisierungsnetzwerk, das es er- dass sich die Datenmenge und die Anzahl der Ver- laubt, die eigene IP-Adresse beim Websurfen oder bindungen nicht von anderen Tagen unterschied. anderen Tätigkeiten im Internet zu verschleiern, Für einen Angreifer bringt die Nutzung von Tor indem jede Verbindung über drei (häufig wech- hier den üblichen Vorteil, dass seine IP-Adresse ge- selnde und idealerweise in verschiedenen Ländern heim bleibt (nachdem diese Institutionen ihre befindliche) Server geleitet wird. Zudem werden DNS-Server selbst betreiben, fällt ein derartiger alle Inhalte innerhalb des Tor-Netzwerks verschlüs- Scan vermutlich auf und könnte somit zu Gegen- selt übertragen. maßnahmen führen).

Seit 2015 betreibt das INS an der Johannes Kepler Ebenso konnten direkte DNS-Scans nachgewiesen Universität (JKU) in Linz einen Tor Exit-Knoten zu werden, wobei hier anscheinend automatisiert Forschungszwecken, der bereits im ACOnet Jah- und nach Wortlisten vorgegangen wird. Da sich resbericht 2017 näher vorgestellt wurde. ACOnet trotz einer sehr großen beobachteten Zahl kein all- unterstützt das Projekt, indem es die benötigte gemeines Muster ergibt, kann vermutet werden, Bandbreite kostenlos zur Verfügung stellt. Das For- dass solche Scans (im Gegensatz zu den Reverse- schungsprojekt wurde kürzlich bis Ende 2019 ver- Scans) über mehrere Exit-Knoten hinweg erfolgen. längert. Mehr Informationen dazu finden Sie unter: Neben den Scans werden auch sehr viele Fehler https://ins.jku.at/infrastructure/tor-exit-node offenbar, wie Domainnamen, die nicht mehr exis tieren („geo.mozilla.org“) oder einfach fehlerhaft

50 | Beiträge von ACOnet-Teilnehmern Tageszeitliche Verteilung des Datenverkehrs am Tor Exit-Knoten der JKU Linz (© JKU / INS) NX = nicht existierend | ND = No-Data | Die Linien sind individuell skaliert und entsprechen daher nicht der linken Skala. sind (z. B. „index.php“ oder „web.archive.orghttp“). Eine weitere Untersuchung erfolgte auf Basis einer Teilweise handelt es sich auch um normale Vor- populären Blacklist für Ad-/Malware. Obwohl gänge, etwa wenn aussschließlich IPv4-DNS-Ein- diese Liste (https://github.com/StevenBlack/hosts) träge verfügbar sind, aber nach IPv6 gefragt wird „nur“ ca. 60.000 Einträge besitzt, sind 5,1 % aller (was nebenbei auch die Verwendung von IPv6 DNS-Anfragen darauf zu finden. Dies kann unter nachweist). Beispiels weise wird durchschnittlich Umständen damit erklärt werden, dass hauptsäch- 7400-mal pro Tag nach der IPv6-Adresse von lich ansonsten gesperrte Websites über Tor besucht „e13829.x.akamaiedge.net“ gefragt – für diesen werden bzw. dass diese Liste auch Werbetracker Rechner existieren jedoch nur IPv4-Einträge, was umfasst, welche sehr oft Einsatz finden. „No-Data“-Antworten erzeugt. Wie schon in früheren Untersuchungen festge- Über eine Untersuchung des zeitlichen Ablaufs stellt, fand auch eine Vielzahl von Whois-Abfragen konnte festgestellt werden, dass die fehlerhafte Be- statt (ca. 4400 Anfragen pro Tag nach „whois.*“). nutzung (No-Data: ND) „normal“ zu sein scheint Der Grund hierfür ist immer noch unklar und in dem Sinne, dass sie zur normalen Nutzung syn- könnte wahrscheinlich nur über die Untersuchung chron läuft (viel Datenverkehr  viele Fehler, siehe des Inhalts der Verbindungen („Nach welchen Do- Abbildung oben). Demgegenüber sind die Scans mainnamen wird gefragt?“) eruiert werden. Dies (nicht existierend: NX) von der Tageszeit unab ist aber rechtlich jedenfalls verboten. Unter Um- hängig. Die Besuche von Ad-/Malware-Sites ent- ständen wird die Zahl derartige Anfragen in Zu- sprechen wiederum ungefähr der tageszeitlichen kunft sinken, da aufgrund der Datenschutz-Grund- Verteilung. verordnung (DSGVO) bei vielen Providern die öf-

Missbräuchliche Nutzung des Tor-Netzwerks | 51 fentlich ohne individuelle Begründung abrufbaren Eindeutig „problematische“ Domains kommen in Angaben im Whois enorm reduziert wurden. dieser Liste erst sehr weit unten vor: • Downloads ...... 2,68 % Über eine Offline-Klassifikation mittels Shalla’s (vieles davon könnte urheberrechtswidrig sein) Blacklists (Online-Klassifikationsdienste kamen aus • Spyware ...... 0,82 % Datenschutzgründen nicht in Frage) wurde auch • Warez ...... 0,81 % versucht, sich der Legalität der Tor-Nutzung anzu • Gamble ...... 0,49 % nähern. Hierbei konnten wir feststellen, dass ein • Hacking ...... 0,08 % sehr großer Anteil höchstwahrscheinlich legale • Drugs ...... 0,07 % Nutzung darstellt (siehe Tabelle unten) – allerdings konnten nur ca. 10 % der DNS-Anfragen auch ent- Der letzte Punkt „Drogen“ umfasst in Summe sprechend klassifiziert werden. 15.924 (von insgesamt rund 238 Millionen) DNS- Anfragen in einem Zeitraum von 5 Monaten – wo- von nicht alle, aber wohl zumindest der Großteil illegale Inhalte oder Geschäfte betreffen dürfte. DNS-Anfragen nach Kategorien

Kategorie Anzahl Anteil Zusammenfassung Wie den Ergebnissen zu entnehmen ist, kommt Porn 3.400.700 14,30 % Missbrauch im Tor-Netzwerk vor. Dies war jedoch Socialnet 3.001.751 12,60 % zu erwarten.

Shopping 2.765.896 11,60 % Demgegenüber konnte ebenso festgestellt werden, dass ein sehr großer Teil höchstwahrscheinlich le- Adv 2.074.556 8,71 % gale Inhalte betrifft. Hier ist insbesondere hervor- News 2.063.338 8,55 % zuheben, dass der Ausspruch „The Internet is for Porn“ zwar noch stimmt, da dies die häufigste Ka- Forums 1.504.763 6,32 % tegorie ist – aber nur sehr knapp: Soziale Netz- werke und Shopping folgen unmittelbar danach. Movies 1.385.006 5,82 %

Tracker 1.339.224 5,62 % Dies konnte auch mit (hier nicht dargestellten) Auswertungen mit Fokus auf einzelne Ziel-Länder Searchengine 1.264.996 5,31 % validiert werden: In manchen Ländern scheinen Soziale Netzwerke sowie Kommunikationsdienste Imagehosting 797.450 3,35 % eine besonders große Rolle zu spielen. Anonymität ist somit auch bei „normaler“ Betätigung für viele Downloads 637.854 2,68 % Personen sehr wichtig. ISP 520.920 2,19 %

Chat 355.395 1,49 % Michael Sonntag Government 352.259 1,48 %

Webmail 239.451 1,01 % Johannes Kepler Universität Linz Institute of Networks and Security Rest 8,87 %  [email protected]

52 | Beiträge von ACOnet-Teilnehmern Das Kooperationsprojekt „Supercomputer MACH-2“

MACH-2 ist ein Hochleistungsrechner, der von der Johannes Kepler Universität (JKU) Linz betrieben wird. Ein Konsortium österreichischer Universitäten und Forschungseinrichtungen greift auf diese Maschine im Rahmen eines Kooperationsprojekts über das ACOnet zu. MACH-2 wurde 2018 in Betrieb genommen und stellt einen der weltweit größten Rechner mit gemeinsamem Speicher dar.

MACH-2 ist der Nachfolger des (nach dem öster- Prinzip entsprechend der Beteiligung an den Be- reichischen Physiker und Philosophen Ernst Mach triebskosten. Im Rahmen von Kooperationen mit benannten) Supercomputers MACH, der von der den Konsortialpartnern können auch andere aka- JKU Linz und der Universität Innsbruck von 2011 demische Einrichtungen diese Maschine nutzen. bis 2017 gemeinsam finanziert und betrieben Insbesondere ist dies durch einen Kooperations- wurde. Für die Nachbeschaffung der in die Jahre vertrag zwischen der JKU Linz und der TU Wien gekommenen Maschine und den zukünftigen Be- auch den Mitgliedern des Vienna Scientific Cluster trieb wurde der Benutzerkreis im Jahr 2016 auf ein (VSC) möglich. österreichweites Konsortium erweitert. Systemarchitektur Das Projekt Die meisten Hochleistungsrechner sind Cluster Das Konsortium „Supercomputer MACH-2“ um- von über ein Netzwerk lose verbundenen Knoten, fasst die JKU Linz, die Universität Innsbruck, die bei denen jedes parallele Programm so auf Pro- Paris Lodron Universität Salzburg, die Technische zesse aufgeteilt werden muss, dass jeder Prozess Universität Wien und das Johann Radon Institute nur auf den Speicher seines Knotens zugreift und for Computational and Applied Mathematics damit auskommt. Die Kommunikation zwischen (RICAM) der Österreichischen Akademie der Wis- auf verschiedenen Knoten laufenden Prozessen er- senschaften (ÖAW). Die Anschaffung wurde durch folgt über den – vergleichsweise langsamen – Ver- das Bundesministerium für Bildung, Wissenschaft sand von Nachrichten (Prinzip des „Distributed und Forschung (BMBWF) im Rahmen eines von Memory“, des verteilten Speichers). Für die Ver 2017 bis 2021 laufenden HRSM-Projekts finan- wen dung von Cluster-Architekturen müssen daher ziert (HRSM = Hochschulraum-Strukturmittel). Die mittels spezieller Programmiermodelle (z. B. dem Kosten für den laufenden Betrieb werden durch „Message Passing Interface“ MPI) entsprechende die teilnehmenden Partner selbst getragen. Programme entwickelt werden.

Die Maschine wird vom Team für Wissenschaft Im Gegensatz dazu ist MACH-2 eine Maschine liches Rechnen am JKU Informationsmanagement vom Typ „Non-Uniform Memory Access“ (NUMA), (= Zentraler Informatikdienst der JKU) betrieben. bei der eine Kombination von Hardware und Sie wurde im Herbst 2017 installiert und ging mit Software-Mechanismen einen über alle „Blades“ Anfang 2018 offiziell in Betrieb. Der Zugriff auf (siehe Kasten auf Seite 54) verteilten Adressraum MACH-2 erfolgt via ACOnet; die Nutzung durch realisiert – also einen einzigen großen virtuellen die Projektpartner erfolgt nach dem „Fair Use“- Speicher, auf den alle Prozesse gemeinsam Zugriff

Das Kooperationsprojekt „Supercomputer MACH-2“ | 53 MACH-2

Der Supercomputer MACH-2 ist eine Maschine vom Typ „SGI UV 3000“ des früheren Herstel- lers Silicon Graphics International (SGI), jetzt Hewlett Packard Enterprise (HPE).

Es handelt sich um ein Bladesystem, bestehend aus 3 Schränken („Racks“ – siehe Foto) mit insgesamt 72 Einschubplatinen („Blades“).

Jede Blade umfasst 2 Prozessoren vom Typ In- tel Xeon E5-4650V3 mit jeweils 12 Rechenker- nen („Cores“).

64 Blades sind mit je 256 GB Speicher, 8 weitere Blades mit je 512 GB Speicher ausgerüstet.

Insgesamt umfasst der Supercomputer damit 1728 Rechenkerne und 20 Terabyte Speicher.

In Bezug auf Rechenkerne und Speichergröße ist MACH-2 eine der weltweit größten Installa- tionen dieser Architekturklasse.

Die Maschine erreicht eine maximale Leistung („Peak Performance“) von 77,4 TeraFLOPS.

Sie ist mit verschiedenen Datenspeicherlösun- gen und Netzwerkanbindungen ausgestattet.

Foto: Der Hochleistungsrechner MACH-2 54 | Beiträge von ACOnet-Teilnehmern (© JKU / Johann Messner) Grafik: Berechnung von Raum-Zeit-Finite-Elemente-Methoden auf MACH-2 Details siehe https://www3.risc.jku.at/projects/mach2/use/langer/ (© JKU / Ulrich Langer)

haben (Prinzip des „Shared Memory“, des gemeinsamen Speichers). Während auch hier der Zugriff auf den Speicher anderer Blades notwendiger- weise etwas langsamer erfolgt als der auf den lo kalen Speicher (die Zugriffszeiten sind also „non- uniform“), sind mit der bei MACH-2 verwendeten VSC-3-System des Vienna Scientific Cluster um proprietären Verbindungstechnologie NUMALINK eine Größenordnung mehr Rechenkerne (32320) „enger gekoppelte“ Programme möglich als mit als MACH-2 (1728); MACH-2 kann aber einem den vergleichsweise „lose gekoppelten“ Cluster- Prozess um zwei Größenordnungen mehr Speicher Architekturen. Insbesondere ist auch die effektive (20480 GB globaler Speicher) zur Verfügung stel- Nutzung von Programmierparadigmen möglich, len als VSC-3 (64 GB lokaler Speicher pro Knoten). die auf der Kommunikation über gemeinsamem Dies macht die Verwendung von MACH-2 auch Speicher beruhen (automatische Parallelisierung in für nicht-parallele, aber speicherintensi ve Anwen- Fortran und C, OpenMP, Multithreading in C, C++, dungen interessant. Java, Python etc.). MACH-2 unterstützt eine Vielzahl von Program- Verwendung miermodellen und Softwarepaketen und wird von den Projektpartnern für zahlreiche Anwendungen Aus Sicht der AnwenderInnen stellt sich der Super- aus den verschiedensten Wissenschaftsbereichen computer im Wesentlichen wie ein herkömm verwendet. Neben den vorrangig die Maschine nut licher (unter dem Betriebssystem Linux) laufender zenden naturwissenschaftlichen, technisc hen und Rechner dar: Auf MACH-2 stehen alle bekannten mathematischen Feldern (Physik, Chemie, Biolo Linux-Anwendungen zur Verfügung. Insbesondere gie, Neurowissenschaften, Numerisc he und Sym ist auch die einfac he Nutzung weitverbreiteter ma- bo lische Mathematik, Statistik, Künstliche Intelli- thematischer, technischer und naturwissenschaft genz, …) finden sich, begünstigt durch die ver licher Softwarepakete (MATLAB, Mathematica, gleichsweise einfache Nutzung von MACH-2, auch Maple, SageMath, ...) möglich. Diese können so- Anwendungen aus anderen Disziplinen (Ökono mit von einer großen Anzahl von Rechenkernen metrie, Produktionsmanagement, Logistik, …). und einem großen Speicher profitieren, ohne speziell adaptiert werden zu müssen. Die Zuteilung Details der Maschinen-Kapazität erfolgt durch das Lastver- teilungssystem PBSPro, mit dem sich die NutzerIn- Weitere Informationen finden Sie auf der Webseite nen für die Ausführung einer interaktiven Sitzung https://www3.risc.jku.at/projects/mach2/, die ins oder eines nicht-interaktiven Rechenjobs einen besondere auch den Prozess der Beantragung von Teil der Maschine reservieren können. Nach Vor- Nutzerkennungen erklärt, den Zugriff auf die Ma- anmeldung sind auch Berechnungen möglich, die schine beschreibt sowie deren aktuelle Auslastung die Ressourcen der gesamten Maschine nutzen. anzeigt.

Die NUMA-Architektur von MACH-2 zielt auf das „Capability Computing“ ab (die möglichst schnelle Lösung eher schwer zu verteilender Probleme). Sie Wolfgang Schreiner stellt damit eine komplementäre Ergänzung der JKU Linz / Research Institute for Cluster-Architekturen dar, die mehr auf „Capacity Symbolic Computation (RISC) Computing“ ausgerichtet sind (die möglichst kos- Projektkoordinator „MACH-2“ teneffektive Lösung vergleichsweise leicht zu ver-  [email protected] teilender Probleme). So bietet zwar das aktuelle

Das Kooperationsprojekt „Supercomputer MACH-2“ | 55 Impressum

Universität Wien Zentraler Informatikdienst Abteilung ACOnet & VIX Universitätsstraße 7 1010 Wien, Österreich

 www.aco.net  [email protected]  +43-1-4277-14030

ISSN: 2616-7972

Redaktion & Gestaltung: Elisabeth Zoppoth Druck: Onlineprinters GmbH

GastautorInnen Wir danken den folgenden Personen für ihre Beiträge zu diesem Jahresbericht: • Josef Zechner, Montanuniversität Leoben • Raman Ganguly, Universität Wien • Claudia Blaas-Schenner, VSC Research Center • Christoph Wild, Medizinische Universität Innsbruck • Richard Plasun, Statistik Austria • Michael Sonntag, Johannes Kepler Universität Linz • Wolfgang Schreiner, Johannes Kepler Universität Linz

56 | Impressum

Kontakt: ACOnet Jahresbericht 2018 Universität Wien Zentraler Informatikdienst Abteilung ACOnet & VIX Universitätsstraße 7 1010 Wien, Österreich  www.aco.net  [email protected]  +43-1-4277-14030 ISSN: 2616-7972 2018