Слайд 1 - Лаборатория Информационных Технологий

реклама
The current security policy of JINR
________________________
The current JINR local network structure
GRID Cluster Network Structure
Cluster organized on L2 technology with one broadcast domain.
Cluster connect to JINR BackBone by two redundant links
Site network security






Центральный firewall построен на двух взаиморезервируемых Cisco 6500 FW модулях и Cisco ACL.
Firewall ОИЯИ контролируют доступ до каждого из
незапрещенных сервисов внутри ОИЯИ.
ACL на лабораторных свитчах обеспечивают
безопасность локальной сети ОИЯИ.
Доступ к сетевому оборудованию обеспечивается
TACACS сервером и Cisco ACL (Login, DualUP, VPN).
Kerberos V обеспечивает заход на центральный
информационно-вычислительный комплекс.
Доступ до домашних пользовательских директорий
контролируется при помощи AFS token.
Accounts policy and system security




Все пользовательские
пароли сохранены в
Kerberos V
Домашние директории
находятся на AFS
Разрешены только
безопасные протоколы (SSL, SSH or
Kerberos)
Каждая лаборатория
может иметь
собственный Kerberos
Server
Kerberos V with LDAP backend



AFS использует
Kerberos V
База Kerberos
сохранена в
LDAP
LDAP
используется
для хранения
пользовательск
ой информации
JINR Network DataBase (IPDB)
Monitoring (NMIS)
Each cluster element use central logging server.
Monitoring for alarms and troubles provided by NMIS.
AUDIT
Network and System audit based on
analyzing logs from central routers,
firewalls and local switchboards.
 IDS (intrusion detect system) build on
freeware flow-tools (Cisco NetFlow).
 In progress development works on own
PDS, based on ROOT package.

Problem



Problems with hardware filtration of hi speed
incoming dataflow (more then 1Gb).
Deficiency of common account dependent
information system which provides information of
security options for each node and possibility for
tuning this options for each node.
Deficiency of hardware dataflow encryption
devices, for security data transfer.
Near Future Plans
Particle replacement Linux “iptable” on
Cisco ACL for increase data speed
transmission.
 Installation LDAP authentication instead of
/etc/passwd
 Future modification IDS and PDS system

Скачать