Segurança para sistemas de laboratórios de pesquisa universitários

Navegue suas respostas
7

Ser responsável pela segurança em um departamento de ciências da computação da universidade não é nada divertido. E eu explico: frequentemente, recebo uma solicitação para a instalação de novos sistemas de hardware ou sistemas de software que são realmente tão experimentais que eu não ousaria colocá-los na DMZ. Se eu puder evitá-lo e forçar uma instalação em uma VLAN interna restrita, tudo bem, mas ocasionalmente recebo solicitações que precisam de acesso ao mundo externo. E, na verdade, faz sentido que esses sistemas tenham acesso ao mundo para fins de teste.

Aqui está o último pedido: Um sistema recém-desenvolvido que usa SIP está nos estágios finais de desenvolvimento. Este sistema permitirá a comunicação com usuários externos (que é seu propósito e a proposta da pesquisa), na verdade pacientes do hospital não tão bem cientes da tecnologia. Portanto, faz sentido abri-lo para o resto do mundo. O que estou procurando é qualquer pessoa que tenha experiência em lidar com sistemas altamente experimentais que precisem de amplo acesso à rede externa. Como você protege o resto da rede e dos sistemas deste pesadelo de segurança sem prejudicar a pesquisa? A colocação na DMZ é suficiente? Alguma precaução extra? Quaisquer outras opções, metodologias?

    
por ank 14.09.2012 / 16:49

4 respostas

7

Isso depende totalmente do "sistema experimental" em questão - a segurança não é algo que vem em uma caixa: ela precisa ser personalizada para cada site, cenário e aplicativo específicos.

Se você está falando sobre coisas escritas por alunos (que são bem conhecidos por terem ZERO compreensão prática de segurança de TI), eu diria que cada projeto precisa ser segregado em seu próprio universo.
Isso significa:

  • Colocado em sua própria sub-rede (tamanho apropriado), com seu próprio roteador
    (não deveria ser dito que deveria estar em sua própria vLAN também)
  • Colocado atrás de seu próprio firewall, que deve:
    • Restringir o acesso de entrada, tanto quanto prático, (isto é, apenas as portas nas quais o aplicativo precisa aceitar conexões)
    • Restringir conexões de saída onde seja sensato
    • Seja completamente separado do resto da universidade & infra-estrutura de departamento
      (seus aplicativos expostos externamente não devem, por exemplo, ser capazes de encontrar um caminho através de suas defesas para falar com os servidores AD do campus)
  • A topologia interna deve seguir as práticas recomendadas para contenção de violações
    Este é difícil porque exige que o software seja bem projetado, mas, quando possível, você quer configurar as coisas, assim, se alguém violar um sistema front-end (como um servidor da Web), seus sistemas backend (como bancos de dados) ainda podem ser seguro

    Se o software for projetado para segmentação, por exemplo, algo com uma camada APP , uma camada DBI e uma camada DB , você pode, teoricamente, separar isso em três redes internas. APP pode falar com DBI , DBI pode falar com DB , mas APP não pode falar com DB , a menos que DBI manipule a solicitação.

Se você está usando um bom hardware Cisco, isso não é difícil de fazer (FWSM "PIX Blades" para os firewalls independentes, algumas vLANs básicas e descartar um roteador em cada sub-rede).

As Melhores Práticas Gerais obviamente também se aplicam - você deve ter tudo documentado (O que precisa ser aberto e por quê? Que configuração especial de rede (se houver) etc.) e se você tiver um IDS / IPS em funcionamento? você deve procurar maneiras de garantir que esses ambientes isolados sejam cobertos.

    
por 14.09.2012 / 18:01
8

Não conhecendo suas políticas ou exigências regulatórias, não podemos dizer o que é "suficiente". Uma sub-rede adequadamente protegida por firewall e monitorada geralmente é suficiente, contanto que você

  1. saiba o que você está permitindo
  2. documente
  3. verifique se isso corresponde a qualquer política de segurança que você tenha
  4. e pode justificá-lo para seu chefe, seu chefe, o governo ou um auditor do PCI ou o que quer que seja aplicado à sua organização.
por 14.09.2012 / 17:14
4

Compartimentalização por todo o caminho. Crie um novo DMZ para ele que seja tratado como uma rede externa por todas as outras redes, DMZs, etc.

Em um ambiente universitário, há muitas áreas em que pesquisas e testes podem acabar sendo prioridades mais altas do que a segurança total. Tratar essas circunstâncias como hosts aleatórios da Internet é provavelmente o melhor que você pode fazer para o isolamento. Também seria sensato deixar um IDS em qualquer um desses segmentos de rede isolados criados por você.

    
por 14.09.2012 / 22:27
0

Eu certamente consideraria investir em algum tipo de sistema de detecção de invasão. O único problema aqui é que é um campo minado, com um número de empresas empurrando seus produtos. Fale com uma empresa de segurança confiável e independente de fornecedores. Eu tive relações muito positivas com a NGS Secure (parte do grupo NCC).

Eu também consideraria virtualizar seus laboratórios de teste, dando a você a capacidade de criar várias redes virtuais, cada uma ligada a uma determinada vLAN. O grande benefício aqui é a recuperação de qualquer ataque em potencial (snapshots comuns da VM, fornecendo vários pontos de recuperação pontuais).

    
por 14.09.2012 / 18:37

Tags

Uma pasta de compartilhamento de rede é invisível para os usuários Nginx / FPM / PHP todos os arquivos php dizem 'Arquivo não encontrado'.