Договор о предоставлении it-услуг ЗАО «ГРИНАТОМ» отделению реакторного материаловедения ОАО ГНЦ НИИАР. Разграничение ответственности сторон.
1. Состояние дел в сфере ИТ для ОРМ
Общие сетевые характеристики локального сегмента ОРМ.
В настоящее время ПК пользователей компьютерной сети ОРМ и серверы располагаются в двух сегментах ЛВС с различным адресным пространством:
Для здания 117: 192.168.10.0/24 (шлюз 192.168.10.254)
Для здания 118: 192.168.2.0/24 (шлюз 192.168.2.254)
Подключение обоих сегментов(подсетей) выполнено по технологии 802.11Q (VLAN). Маршрутизация между этими подсетями осуществляется через роутер на базе zeroshell(который имеет логические интерфейсы в каждом изVLAN) подконтрольный администратору корпоративной сети ОАО ГНЦ НИИАР. Для управления адресным пространством внутри каждого из сегментов ЛВС ОРМ используется свой dhcp-сервер. Для получения информации о доменных именах внутри сегментов используются DNS-сервера хранящие файлы прямой и обратной DNS-зон.Они же используются для кеширования запросов об именах хостов корпоративной сети и ресурсов интернет, т.к. получают эту информацию от корпоративного DNS.
Доменная структура
Для защиты информации от НСД, лучшей защиты пользовательских данных и более гибкой системой управления параметрами настройки ПК пользователей в ОРМ действует доменная структура, представленная двумя сетевыми доменами на базе MSActiveDirectoryс сетевыми именами OIT (здание 117) и ORM (здание 118). Общая численность пользователей в обоих доменах порядка200, а компьютерной техники порядка 220 единиц. Домены связаны между собой доверительными отношениями, что позволяет легко и безопасно (в отличии от того если бы они являлись деревьями одного леса) реорганизовать совместный доступ пользователей к ресурсам серверов двух сетевых сегментов. Для антивирусной защиты на зданиях отделения используются продукты компании ESET–они регулярно обновляются с внутреннего зеркала (само оно обновляется из интернета), размещенного на одном из серверов ОРМ.
Маршрутизация и фильтрация трафика.
В настоящее время между сегментами подсетей действуют правила фильтрация трафика (tcp: открыто большинство портов, udp: закрыто большинство портов, icmp-пакетов). В соответствии с этими правилами между подсетями – кроме сегментов ОРМ, возможен обмен трафиком с вышеобозначенными ограничениями. Для обмена трафиком между орм и корпоративной сетью открыты порты:
42, 80,110,53,25,3128,443,137,139,138
Основные сервисы корпоративной сети, используемые пользователями ОРМ:
· Внешняя почта (mail.niiar.ru)
· Внутренняя почта (mail.pub.niiar.ru)
· Интернет доступ через прокси (proxy0.niiar.ru, proxy1.niiar.ru)
· Внутренний сайт НИИАРа (www.pub.niiar.ru)
Активное сетевое оборудование
В частиактивного сетевого оборудования используются преимущественно гигабитное сетевое оборудование семейства D-Link, в том числе и 4 магистральных коммутатора на зданиях 117(DGS-1224Tи DGS-3120-24TC) и 118 (DGS-3120-24TC). Конфигурирование этих устройств выполняется системными администраторами зданий. Область полномочий сисадмина здания – сегмент ЛВС, до входного оптического порта коммутатора ближайшего к корпоративной сети.
Сервисное обслуживание ПК пользователей и серверов.
Подразумевает аппаратный ремонт компьютерной техники в случае выхода из строя какого-либо компонента, а также установку(переустановку) на компьютерах пользователей операционных систем и программных пакетов.
Новые компьютеры, пришедшие в отделения ставятся на обслуживание в СЦ «Гринатом» с последующим присвоением учетного номера и возможностью ремонта и обслуживания в СЦ (сервисном центре) по мере возникновения неисправностей при обращении владельца-ответственного за конкретный ПК.
«Старые компьютеры» (условно)– до 2014г., при их наличии в списках обслуживаемой техники в ЗАО «ГРИНАТОМ» аналогично могут обслуживаться в СЦ. Компьютеры, не состоящие на учете в СЦ не могут там обслуживаться. Для постановки на обслуживания на учет старых ПК должна быть проведена полная процедура регистрации согласно разработанному специалистами СЦ регламенту.
Ремонт и обслуживание серверов отделения производится по тому же регламенту.
2. Готовящиеся мероприятияЗАО «Гринатом» по изменению существующей сетевой инфраструктуры ОАО ГНЦ НИИАР.
Предполагается создание новой доменной структуры для всего ОАО НИИАР.
Доменная структура
Развертывание новой сетевой структуры НИИАР предполагается начать с домена PUB.NIIAR.LOCAL. В состав этого домена в форме организационных единиц будут включены подразделения на данный момент не входящие ни в один из существующих доменов. Домен PUB.NIIAR.LOCAL при его создании породит новый доменный лес PUB.NIIAR.LOCAL, в котором образуется на начальном этапе единственное дерево объектов каталога PUB.NIIAR.LOCAL. Это дерево будет состоять из организационных единиц, представляющих подразделения, а также пользователей, компьютеров и принтеров.
Существующие домены крупных подразделений на данный момент являются изолированными. Каждый из этих доменов при его создании порождал свой собственный лес. В новой сетевой структуре предполагается каждый из этих доменов преобразовать в новый домен, но в уже существующем лесу PUB.NIIAR.LOCAL. Например,
Лес – OFIBR.NIIAR.RU Домен – OFIBR.NIIAR.RU
преобразовать в
Лес – PUB.NIIAR.LOCAL Домен – OFIBR.NIIAR.LOCAL
Таким образом, новая структура сети НИИАР будет представлять собой единый доменный лес с множеством деревьев, где каждое дерево будет соответствовать своему домену (т.е. своему набору подразделений, пользователей, компьютеров и других ресурсов).
Разграничение прав доступа
При развертывании домена создается группа “Администраторы домена”. В каждом домене члены именно этой группы будут обладать полным набором прав для управления доменом. Правами на управления другими доменами у них не будет. Но кроме этой группы в корневом домене леса создается группа “Администраторы предприятия”. При развертывании нового домена в существующем лесу данная группа включается в группу “Администраторы” на контроллерах этого домена. Члены этой группы не могут управлять доменами, но могут назначить любому пользователю любого домена любую роль в этих доменах (например, роль администратора домена) тем самым восстановить управление доменом (например, в случае утраты паролей администратора домена).
Так как при создании доменов в одном лесу доверительные отношения между доменами устанавливаются автоматически. Это дает возможность предоставлять доступ пользователям одних доменов к ресурсам других доменов в упрощенной форме
3. Позиция экспертов ОРМ по поводу предлагаемых ЗАО Гринатом нововведений.
Предлагаемый вариант построения структуры доменного дерева предприятия на базе Microsoft ActiveDirectory является грамотным и логичным, НО только лишь для создаваемой с нуля структуры, он невозможен для внедрения в уже существующую инфраструктуру крупных подразделений, таких как ОРМ. Этому есть ряд объяснений.
· Доменная структура ОРМ (здание 118) представлена корневым доменом ORM.NIIAR.RU в лесу orm.niiar.ru и существует более 5 лет. На протяжении всего периода времени приходится вносить изменения в работу домена и леса для поддержки корректной работы устанавливаемого у пользователей программного обеспечения, отработки групповых политик (и политик безопасности домена) и предоставления разделяемого доступа к сетевым ресурсам серверов и ПК пользователей. Взаимодействие между хостами внутри сегмента ЛВС осуществляется через безопасный канал(шифрование) – связано с высокими требованиями к конфиденциальности, хранимой на серверах и компьютерах пользователей информации. Большая часть изменений требует высшего уровня привилегий – Администраторы предприятия, Создатели и владельцы групповых политик.
· Инфраструктура второго сегмента ЛВС ОРМ (ОИТ, здание 117) имеет аналогичное построение. Представлена собственным лесом oit.niiar.ru и корневым доменом OIT.NIIAR.RU. Такое разделение на 2 отдельных домена, связанных доверительными отношениями обусловлено различием сфер научно-производственной деятельности, и ограничением распространения информации. Использование доверительных отношений позволяет полностью удовлетворить запросы пользователей по обмену необходимыми данными и не допустить злоупотребление привилегиями.
· Согласно анализу информационного обмена за последние 4 года работы пользователей в домене порядка 90% приходится на обмен внутри подразделения и 9% между доменами ОРМ и ОИТ. Потребности в обмене данными между нашим и остальными подразделениями через разделяемые сетевые ресурсы нет. На протяжении всего периода времени работы подразделения используется внутренняя электронная почта, гарантирующая внутри предприятия наивысший уровень защиты пересылаемой информации.
Предложенный ЗАО Гринатом механизм перестроения внутренней структуры доменного дерева подразделения ОРМ приведет к созданию потенциальной бреши в безопасности нового домена за счёт ряда факторов:
А) Создание леса и включение других доменов в качестве деревьев этого леса ограничивает необходимые права администраторов по управлению инфраструктурой новых собственных доменов за счёт не полного набора получаемых администраторами новых доменов ролей. Для осуществления многих изменений групповых политик безопасности домена в лесу требуется высший уровень привилегий, таких, например, как роль администратора схемы или членство в группе администраторы предприятия и т.д.
Б) Наличие этихпривилегий у представителей ЗАО ГРИНАТОМ позволяет предоставить им неограниченный уровень прав по манипуляции с элементами схемы ActiveDirectory (пользователями, группами, принтерами и иными сетевыми ресурсами). Конкретно такой уровень привилегий позволит отключать/включать учетные записи пользователей и администраторов домена, вносить изменения в групповые политики нашего домена и препятствовать таким изменениям для администратора своего же домена, позволит получить доступ к содержимому жестких дисков компьютеров пользователей и серверов и рабочих столов в реальном времени.
В) Как показал многолетний опыт нет потребности в раздельном использовании сетевых ресурсов ОРМ и других подразделений, напротив требуется улучшение эффективности защиты сегментов ОРМ от доступа со стороны других подсетей (Так в 2009г. корпоративную сеть НИИАРа поразила эпидемия червя Conficker, заразившего несколько сотен ПК в течении нескольких месяцев. Благодаря высокому уровню защиты и изоляции домена ОРМ на всё время, произошедшее число заражений со стороны ЛВС было менее десятка.).
Проанализировав сложившую ситуацию эксперты предлагают способ вхождения доменной структуры ОРМ в новую доменную структуру НИИАРа посредством создания двухсторонних доверительных отношений между корневым доменом новообразованного леса pub.niiar.ru и доменов orm.niiar.ruи oit.niiar.ru в сфреKerberosV. В этом случае без снижения уровня безопасности наших доменов и ограничения прав администраторов домена все организационные единицы новообразованного домена смогут получить полный список объектов (пользователей, групп и компьютеров). Что будет достаточным для возможности информационного обмена, авторизации на корпоративных сервисах и других нуждГринатома и ОРМ.
Системные администраторы ОРМ С.А. Пинчук
Д.А. Королев