Быть ответственным за безопасность на факультете компьютерных наук в университете совсем не весело. И я объясняю: очень часто я получаю запрос на установку новых аппаратных систем или программных систем, которые действительно настолько экспериментальны, что я бы не осмелился поместить их даже в демилитаризованную зону. Если мне удастся этого избежать и принудительно выполнить установку в ограниченной внутренней VLAN, это нормально, но иногда я получаю запросы, требующие доступа к внешнему миру. И действительно, имеет смысл иметь доступ к миру для таких систем для тестирования.
Вот последний запрос: недавно разработанная система, использующая SIP, находится на завершающей стадии разработки. Эта система позволит общаться с внешними пользователями (это ее цель и предложение исследования), фактически пациентами больниц, которые не так хорошо знакомы с технологиями. Так что есть смысл открыть его для остального мира. Я ищу любого, кто имеет опыт работы с такими экспериментальными системами, которым требуется широкий внешний доступ к сети. Как защитить остальную сеть и системы от этого кошмара безопасности, не мешая исследованиям? Достаточно ли размещения в DMZ? Какие-нибудь дополнительные меры предосторожности? Есть ли другие варианты, методики?
Не зная вашей политики или нормативных требований, мы не можем сказать вам, что «достаточно». Правильно защищенной межсетевым экраном и контролируемой подсети обычно достаточно, если вы
Это полностью зависит от рассматриваемой «экспериментальной системы» - безопасность - это не то, что входит в комплект: ее необходимо настраивать для каждого конкретного сайта, сценария и приложения.
Если вы говорите о материалах, написанных студентами (которые довольно хорошо известны тем, что НУЛЬ практическое понимание ИТ-безопасности), я бы сказал, что каждый проект необходимо выделить в отдельную вселенную.
Это значит:
APP слой, а DBI слой, а DB слой теоретически можно разделить на три внутренние сети. APP можно поговорить с DBI, DBI можно поговорить с DB, но APP не могу поговорить с DB если только DBI обрабатывает запрос. Если вы используете хорошее оборудование Cisco, это сделать несложно (FWSM «PIX Blades» для независимых межсетевых экранов, некоторые базовые виртуальные локальные сети и включение маршрутизатора в каждую подсеть).
Очевидно, что общие передовые практики также применимы - вы должны все документировать (что должно быть открыто и почему? Какая специальная конфигурация сети (если есть) применяется? И т. Д.), И если у вас есть IDS / IPS, вам следует посмотреть для способов убедиться, что эти изолированные среды покрыты.
Компартментализация полностью. Создайте для него новую DMZ, которая будет рассматриваться как внешняя сеть всеми другими сетями, DMZ и т. Д.
В университетской среде существует множество областей, в которых исследования и тестирование могут оказаться более приоритетными, чем полная безопасность. Лучшее, что вы можете сделать для изоляции, - рассматривать эти обстоятельства как случайные Интернет-узлы. Также было бы разумно установить IDS на любой из этих изолированных сегментов сети, которые вы создаете.
Я бы определенно подумал об инвестициях в какую-нибудь систему обнаружения вторжений. Единственная проблема здесь в том, что это своего рода минное поле, поскольку ряд компаний продвигает свои продукты. Обратитесь в надежную компанию по обеспечению безопасности, не зависящую от поставщика. У меня были очень хорошие отношения с NGS Secure (входит в группу NCC).
Я бы также рассмотрел возможность виртуализации ваших тестовых лабораторий, что дало бы вам возможность создавать несколько виртуальных сетей, каждая из которых привязана к определенной vLAN. Большим преимуществом здесь является восстановление после любой потенциальной атаки (обычные снимки состояния виртуальных машин, дающие несколько точек восстановления на определенный момент времени).