the current security policy of jinr
DESCRIPTION
The current security policy of JINR. ________________________. The current JINR local network structure. GRID Cluster Network Structure. Cluster organized on L2 technology with one broadcast domain . Cluster connect to JINR BackBone by two redundant links. Site network security. - PowerPoint PPT PresentationTRANSCRIPT
The current security policy of JINR
________________________
The current JINR local network structure
GRID Cluster Network Structure
Cluster organized on L2 technology with one broadcast domain.Cluster connect to JINR BackBone by two redundant links
Site network security Центральный firewall построен на двух взаимо-
резервируемых Cisco 6500 FW модулях и Cisco ACL. Firewall ОИЯИ контролируют доступ до каждого из
незапрещенных сервисов внутри ОИЯИ. ACL на лабораторных свитчах обеспечивают
безопасность локальной сети ОИЯИ. Доступ к сетевому оборудованию обеспечивается
TACACS сервером и Cisco ACL (Login, DualUP, VPN). Kerberos V обеспечивает заход на центральный
информационно-вычислительный комплекс. Доступ до домашних пользовательских директорий
контролируется при помощи AFS token.
Accounts policy and system security
Все пользовательские пароли сохранены в Kerberos V
Домашние директории находятся на AFS
Разрешены только безопасные прото-колы (SSL, SSH or Kerberos)
Каждая лаборатория может иметь собственный Kerberos Server
AFS использует Kerberos V
База Kerberos сохранена в LDAP
LDAP используется для хранения пользовательской информации
Kerberos V with LDAP backend
JINR Network DataBase (IPDB)
Monitoring (NMIS)Each cluster element use central logging server.Monitoring for alarms and troubles provided by NMIS.
AUDIT
Network and System audit based on analyzing logs from central routers, firewalls and local switchboards.
IDS (intrusion detect system) build on freeware flow-tools (Cisco NetFlow).
In progress development works on own PDS, based on ROOT package.
Problem
Problems with hardware filtration of hi speed incoming dataflow (more then 1Gb).
Deficiency of common account dependent information system which provides information of security options for each node and possibility for tuning this options for each node.
Deficiency of hardware dataflow encryption devices, for security data transfer.
Near Future Plans
Particle replacement Linux “iptable” on Cisco ACL for increase data speed transmission.
Installation LDAP authentication instead of /etc/passwd
Future modification IDS and PDS system