Sicherheit für universitäre Forschungslaborsysteme

7

Es macht überhaupt keinen Spaß, in einem Informatik-Institut der Universität für Sicherheit verantwortlich zu sein. Und ich erkläre: Es kommt oft vor, dass ich eine Anfrage zur Installation neuer Hardware- oder Softwaresysteme bekomme, die wirklich so experimentell sind, dass ich es nicht wagen würde, sie auch nur in die DMZ zu stellen. Wenn ich es vermeiden und eine Installation in einem eingeschränkten internen VLAN erzwingen kann, ist das in Ordnung, aber gelegentlich erhalte ich Anfragen, die Zugriff auf die Außenwelt benötigen. Und tatsächlich ist es sinnvoll, dass solche Systeme zu Testzwecken Zugang zur Welt haben.

Hier ist die neueste Anfrage: Ein neu entwickeltes System, das SIP verwendet, befindet sich in der letzten Entwicklungsphase. Dieses System ermöglicht die Kommunikation mit externen Benutzern (das ist sein Zweck und der Forschungsvorschlag), tatsächlich Krankenhauspatienten, die sich der Technologie nicht so gut bewusst sind. Es ist also sinnvoll, es für den Rest der Welt zu öffnen. Was ich suche, ist jeder, der Erfahrung im Umgang mit solch hochexperimentellen Systemen hat, die einen breiten externen Netzwerkzugriff benötigen. Wie schützen Sie den Rest des Netzwerks und der Systeme vor diesem Sicherheitsalptraum, ohne die Forschung zu behindern? Ist die Platzierung in der DMZ ausreichend? Irgendwelche zusätzlichen Vorsichtsmaßnahmen? Irgendwelche anderen Optionen, Methoden?

networking security dmz ank
quelle
Was wäre, wenn Sie einen Gateway-Host verwenden und für jedes "experimentelle" System bestimmte Ports / Forwards öffnen würden?
Ethrbunny
Wenn Sicherheit für Sie Priorität hat, lassen Sie sich von einem Berater helfen. Fragen Sie nicht in kostenlosen Foren nach.
Der Unix-Hausmeister
2
Es ist kein Entweder-Oder-Vorschlag. Die Absicht dieser Site ist es, ein Ort für die Verbreitung von Wissen zu sein.
Mfinni
1
Ich sage nur, wenn eine DMZ für diesen Zweck nicht sicher genug ist, vorausgesetzt, es ist das einzige Gerät in dieser DMZ, muss Ihre DMZ-Sicherheit dringend beachtet werden.
John Gardeniers
Schätzen Sie alle Kommentare. Ich bin mir sehr wohl bewusst, was eine DMZ tun kann und was nicht. Ich habe mein Ziel oben ziemlich weit gefasst, um Vorschläge von Administratoren zu sammeln, die Erfahrung mit dieser Art von Problem haben, die nur im akademischen Umfeld zu finden sind. Das Problem ist das neue erstellte Forschungssysteme werden in der Regel von Studierenden programmiert. Es ist bekannt, dass sie keine Vorstellung von Sicherheit haben. Professoren, die die Forschungsanstrengungen leiten, sind sehr bemüht, Fortschritte zu zeigen. Es ist auch bekannt, dass sie keine Vorstellung von angemessener Sicherheit haben. DMZ oder nicht DMZ der Ball ist in meinen Händen, um zu sehen, dass die Dinge reibungslos funktionieren.
Ank

Antworten:

7

Dies hängt vollständig vom jeweiligen "experimentellen System" ab. Sicherheit gehört nicht zum Lieferumfang: Sie muss auf jeden Standort, jedes Szenario und jede Anwendung zugeschnitten sein.

Wenn Sie über Dinge sprechen, die von Studenten geschrieben wurden (die dafür bekannt sind, dass sie NULL praktische Kenntnisse der IT-Sicherheit haben), würde ich sagen, dass jedes Projekt in sein eigenes Universum aufgeteilt werden muss.
Das bedeutet:

  • Platziert in einem eigenen (entsprechend großen) Subnetz mit einem eigenen Router
    (es sollte selbstverständlich sein, dass es sich auch in einem eigenen vLAN befinden sollte)
  • Hinter einer eigenen Firewall platziert, die:
    • Beschränken Sie den eingehenden Zugriff so weit wie möglich
      (dh nur die Ports, an denen die Anwendung Verbindungen akzeptieren muss).
    • Beschränken Sie ausgehende Verbindungen, wo dies sinnvoll ist
    • Seien Sie völlig getrennt von der übrigen Infrastruktur der Universität und des Fachbereichs
      (Ihre extern exponierten Apps sollten beispielsweise keinen Weg finden, durch Ihre Abwehrkräfte mit den AD-Servern auf dem Campus zu kommunizieren).
  • Die interne Topologie sollte den Best Practices zur Eindämmung von Sicherheitsverletzungen folgen.
    Diese ist schwierig, da die Software gut entworfen werden muss. Wenn möglich, möchten Sie die Einstellungen jedoch so einrichten, dass jemand ein Front-End-System (wie einen Webserver) verletzt -end-Systeme (wie Datenbanken) sind möglicherweise noch sicher.
    Wenn die Software für die Segmentierung ausgelegt ist, z. B. eine APPSchicht, eine DBISchicht und eine DBSchicht, können Sie diese theoretisch in drei interne Netzwerke unterteilen. APPkann mit sprechen DBI, DBIkann mit sprechen, DBkann aber APPnicht mit sprechen, es DBsei denn, DBIdie Anfrage wird bearbeitet.

Wenn Sie gute Cisco-Hardware verwenden, ist dies nicht schwer (FWSM "PIX Blades" für die unabhängigen Firewalls, einige grundlegende vLANs und das Ablegen eines Routers in jedem Subnetz).

Es gelten natürlich auch allgemeine Best Practices - Sie sollten alles dokumentieren lassen (Was muss geöffnet sein und warum? Welche spezielle Netzwerkkonfiguration (falls vorhanden) angewendet wird? Usw.) und wenn Sie über ein IDS / IPS verfügen, sollten Sie nachsehen Möglichkeiten, um sicherzustellen, dass diese isolierten Umgebungen abgedeckt sind.

voretaq7
quelle
8

Da wir Ihre Richtlinien oder behördlichen Anforderungen nicht kennen, können wir Ihnen nicht sagen, was "genug" ist. Ein ordnungsgemäß Firewall und überwachtes Subnetz reicht im Allgemeinen aus, solange Sie

  1. weiß, was du erlaubst
  2. dokumentieren Sie es
  3. Stellen Sie sicher, dass dies mit Ihren Sicherheitsrichtlinien übereinstimmt
  4. und kann es Ihrem Chef, seinem Chef, der Regierung oder einem PCI-Prüfer oder was auch immer für Ihre Organisation gilt, rechtfertigen.
mfinni
quelle
4

Kompartimentierung den ganzen Weg. Erstellen Sie eine neue DMZ dafür, die von allen anderen Netzwerken, DMZs usw. als externes Netzwerk behandelt wird.

In einem Universitätsumfeld gibt es viele Bereiche, in denen Forschung und Tests höhere Prioritäten als die volle Sicherheit haben können. Diese Umstände als zufällige Internet-Hosts zu behandeln, ist wahrscheinlich das Beste, was Sie für die Isolation tun können. Es ist auch ratsam, ein IDS auf einem dieser von Ihnen erstellten isolierten Netzwerksegmente abzulegen.

Jeff Ferland
quelle
0

Ich würde sicherlich in Betracht ziehen, in eine Art Intrusion Detection-System zu investieren. Das einzige Problem dabei ist, dass es sich um ein Minenfeld handelt, in dem eine Reihe von Unternehmen ihre Produkte vorantreiben. Sprechen Sie mit einem seriösen herstellerunabhängigen Sicherheitsunternehmen. Ich hatte sehr positive Beziehungen zu NGS Secure (Teil der NCC-Gruppe).

Ich würde auch in Betracht ziehen, Ihre Testlabors zu virtualisieren, damit Sie mehrere virtuelle Netzwerke erstellen können, die jeweils an ein bestimmtes vLAN gebunden sind. Der große Vorteil hierbei ist die Wiederherstellung nach potenziellen Angriffen (regelmäßige VM-Snapshots, die mehrere Wiederherstellungspunkte zu einem bestimmten Zeitpunkt ergeben).

Simon Catlin
quelle
Das Problem bei Intrusion Detection-Systemen besteht darin, dass sie Intrusionen und Intrusionsversuche erkennen . Der bessere Weg ist, sie überhaupt zu verhindern. Das IDS reicht nicht aus.
John Gardeniers