the current security policy of jinr

The current security policy of JINR

________________________

The current JINR local network structure

GRID Cluster Network Structure

Cluster organized on L2 technology with one broadcast domain.Cluster connect to JINR BackBone by two redundant links

Site network security Центральный firewall построен на двух взаимо-

резервируемых Cisco 6500 FW модулях и Cisco ACL. Firewall ОИЯИ контролируют доступ до каждого из

незапрещенных сервисов внутри ОИЯИ. ACL на лабораторных свитчах обеспечивают

безопасность локальной сети ОИЯИ. Доступ к сетевому оборудованию обеспечивается

TACACS сервером и Cisco ACL (Login, DualUP, VPN). Kerberos V обеспечивает заход на центральный

информационно-вычислительный комплекс. Доступ до домашних пользовательских директорий

контролируется при помощи AFS token.

Accounts policy and system security

Все пользовательские пароли сохранены в Kerberos V

Домашние директории находятся на AFS

Разрешены только безопасные прото-колы (SSL, SSH or Kerberos)

Каждая лаборатория может иметь собственный Kerberos Server

AFS использует Kerberos V

База Kerberos сохранена в LDAP

LDAP используется для хранения пользовательской информации

Kerberos V with LDAP backend

JINR Network DataBase (IPDB)

Monitoring (NMIS)Each cluster element use central logging server.Monitoring for alarms and troubles provided by NMIS.

AUDIT

Network and System audit based on analyzing logs from central routers, firewalls and local switchboards.

IDS (intrusion detect system) build on freeware flow-tools (Cisco NetFlow).

In progress development works on own PDS, based on ROOT package.

Problem

Problems with hardware filtration of hi speed incoming dataflow (more then 1Gb).

Deficiency of common account dependent information system which provides information of security options for each node and possibility for tuning this options for each node.

Deficiency of hardware dataflow encryption devices, for security data transfer.

Near Future Plans

Particle replacement Linux “iptable” on Cisco ACL for increase data speed transmission.

Installation LDAP authentication instead of /etc/passwd

Future modification IDS and PDS system