Universitat Jaume I - UJI - Castello

Servei d'Informàtica
Serveis

    Securització de la subxarxa acadèmica de la UJInet

    Data de creació: 17-12-2003 - Última modificació:17-12-2003

    El dia 16 de desembre de 2003 a les 13:00 hores es va celebrar una reunióextraordinària de la Comissió d'Afers Econòmics i Informàtics que va aprovar laproposta adjunta per assentiment.

    Introducció

    Darrerament estem sofrint molts atacs a la subxarxa acadèmica de la UJInet. Certamentaquesta subxarxa disfruta d'una política de seguretat molt permissiva en el que respectaal accés des de l'exterior. Açò que és, en principi, un avantatge, s'ha acabatconvertint en un problema, com molts de vosaltres heu experimentat.

    És per això que us volem presentar una proposta de solució (vegeu l'annex),tècnicament senzilla, que ens ha de permetre millorar la seguretat d'aquesta subxarxa.També, i enllaçat amb el punt anterior, voldríem presentar-vos la nova política d'úsRedIRIS (la xarxa acadèmica i d'investigació nacional) i les obligacions que comportaper a les institucions oficials adherides. En especial la potestat de RedIRIS per a tallarl'accés a les xarxes afiliades que per la seua manca de seguretat suposen un problema pera la resta d'usuaris de RedIRIS (http://www.rediris.es/rediris/PERs/RedIRISafiliacion.pdf).

    Açò ens obliga, en certa forma, a aplicar el principi de subsidiarietat, el qual ensha de permetre, a nosaltres, suspendre el servei de connexió a l'UJInet dels equips queposen en perill el nivell i la qualitat del servei. Però, abans d'aquest últim recurs,volem establir mecanismes que ens ajuden a reforçar els serveis de seguretat de lasubxarxa acadèmica, sense causar massa inconvenients en el seu hàbit d'ús. És moltimportant l'ampla participació del PDI en aquesta solució per tal de garantirl'efectivitat del mecanisme emprat.

    ANNEX. SECURITZACIÓ DE LA SUBXARXA ACADÈMICA DE LA UJINET

    Es tracta d'una solució que pretén disminuir els continus incidents de seguretat desde la subxarxa acadèmica (màquines de despatxos del professorat i laboratorisd'investigació). En aquests moments es registren de l'ordre de 5 incidents (reportats perorganismes externs a l'UJI, com ara RedIRIS) a la setmana amb origen en aquesta xarxa.Normalment aquest tipus d'incidències tracten d'ordinadors afectats amb virus oordinadors que s'han compromès, ja que un intrús ha guanyat l'accés a aquestosmitjançant alguna fallada de seguretat del sistema. Aquesta solució, que no garanteix laseguretat al 100 %, es deu plantejar com una fase més del projecte de seguretat en laUJInet.

    En l'actualitat, totes les màquines de la subxarxa acadèmica són visibles desd'Internet, per la qual cosa la seguretat està totalment en mans de l'administrador deles mateixes. La solució proposta passa per limitar l'accés des d'Internet a totsaquells ordinadors de la subxarxa acadèmica que no oferisquen cap servei més enllà dela xarxa UJInet; i.e., que no siga necessari accedir a ells des d'Internet (aquesta zonano visible es seguirà anomenant subxarxa acadèmica). La resta formarà part de la ques'anomenarà subxarxa acadèmica promíscua. Naturalment l'accés des de tots els equips aInternet sí que serà possible.

    En qualsevol cas la decisió d'adherir-se a una o altra serà del propietari oadministrador de la màquina. Per defecte, s'adherirà l'equip a la zona no visible (i.e.,d'accés exterior limitat). Per a fer-ho s'afegirà els filtres necessaris a l'encaminadorde la UJInet d'accés a Internet per a que no siga possible l'accés a determinat rang dedireccions IP de la subxarxa acadèmica.

    En concret:

    • Per a les connexions TCP es filtraran els paquets d'intent de connexió a aquestes màquines.
    • En quant a les connexions UDP, és necessari estudiar què protocols s'utilitzen normalment per a procedir o no al seu filtrat.

    Evidentment, açò no impedeix que una màquina, l'accés a la qual s'ha filtrat desd'Internet, puga ser infectada per qualsevol altre ordinador de la pròpia xarxa UJInetprèviament infectat. En qualsevol cas, a diferència d'ara, el propietari/administradord'un node a la subxarxa acadèmica promíscua s'haurà d'identificar al fer lasol·licitud d'adhesió, el que facilitarà la presa de mesures reactives (neteja iprotecció) més ràpidament; més enllà de la simple desconnexió del node de la xarxa.No es descarta la necessitat de desenvolupar un reglament bàsic de mesures a aplicar enel cas de reincidència.

    1.1.1 Fases

    Aquesta solució s'ha d'implantar en fases, per tal de no interrompre el servei. Noteuque, per defecte, tots els equips passarien a la zona no visible des d'Internet i elsusuaris que vulguen que el seu equip passe a la subxarxa acadèmica promíscua ho hauriende sol·licitar usant un formulari ad hoc al e-UJIer@GPI, que serà anunciat oportunament.Per tal que aquells equips que ja oferixen serveis a l'exterior no es vegen afectats, calestablir un període transitori. En aquest període tots els equips seguiran com ara i enslimitarem a recollir informació mitjançant l'esmentat formulari.

    Una vegada acabat el període, es passaran els equips que han de romandre visibles a lasubxarxa acadèmica promíscua i es securitzarà la subxarxa acadèmica, en els termesabans esmentats. Una vegada en producció, els usuaris podran seguir fent ús delformulari per tal de gestionar la pertinença dels seus equips a una o altra zona.

    Informació proporcionada per: Servei d'Informàtica
    Data de modificació: 17/12/2003 00:00
    Universitat Jaume I CIF: Q-6250003-H Av. de Vicent Sos Baynat, s/n 12071 Castelló de la Plana, Espanya Tel.: +34 964 72 80 00 Fax: +34 964 72 90 16