GuaraniArqBasica

Reporte: SIU-RT-0106/13
Esquema de Arquitectura Básica
Del Sistema SIU-Guaraní
Este esquema representa la configuración elemental. Sólo intenta expresar los
componentes de Hardware y Software mínimos para la implementación de la aplicación SIUGuaraní en sus módulos cliente/servidor e Internet. No tiene en consideración
requerimientos de seguridad que pueden hacer necesaria la aparición de nuevos componentes
(firewall, otros servidores, etc.).
Workstation
Workstation
Workstation
RDBMS Informix
Servidor Base
de Datos
Red restringida
Motor ASP
Workstation
Web Server Académico
La funcionalidad inicial a implementar e Internet será :







Inscripción de alumnos a cursadas de materias
Inscripción de alumnos a exámenes
Consulta de inscripciones a exámenes y cursadas
Consulta de Planes de Estudio
Consulta de Historia Académica
Consulta de Aulas
La incorporación de nuevas operaciones en Internet puede implicar requerimientos de
seguridad más exigentes.
11
Workstation
Workstation
2
12
1
3
Workstation
RDBMS Informix
4
Servidor Base
de Datos
Red restringida
10
8
9
5
7
Firewall
Workstation
DMZ
6
Motor ASP
Web Server Académico
Puntos de Relevancia de Seguridad
1. Servidor de Base De Datos
Placas de Red: es recomendable que este servidor posea dos placas de red, una orientada a la
red de usuarios de aplicaciones y la otra al servidor Web c/ las aplicaciones ASP.
Servicios de Red: es aconsejable que este servidor solo corra servicios de red estrictamente
necesarios para el funcionamiento del motor DB. En caso de ser una maquina UNIX solo debe
tener abiertos los ports TCP del motor, deshabilitados preferentemente el telnet (o al menos a
través de canal seguro, Ej. SSH). FTP cliente solo en modo pasivo. Deshabilitados todos los
servicios UDP.
En caso de tratarse de un server NT es recomendable no instalar los protocolos NetBios e
IPX/SPX, solo habilitar TCP/IP.
Usuarios y Grupos: dar de alta solo las mínimas cuentas de usuarios y grupos. Definir los
grupos y permisos para estos (mínimos necesarios). Diferenciar los grupos con respecto a sus
funciones Ej. Usuarios del Sistema, Operadores del Sistema, Administradores del Sistema
(todos estos son grupos propios del Sistema GUARANI no corresponden a los definidos por
default en el servidor).
Otorgar los mínimos privilegios y accesos a recursos, en caso de UNIX, es recomendable que
para estos usuarios el home directory sea /dev/null, que no posean shell (el campo shell del
/etc/passwd sea /dev/null Ej: user1:x:1001:2100:Usuario Guarani 1:/dev/null:/bin/false)
De tratarse de un servidor NT es recomendable que este se instale en modo Servidor
Standalone (no debería ser servidor primario de dominio ni servidor secundario), solo debería
admitir logins de consola al grupo administradores .
Passwords: las paswords de las cuentas deben reunir las características habituales de una
"buenas Passwords", también debe definirse una planificación para los cambios periódicos. Es
recomendable tener un diccionario de Passwords inconvenientes.
Patches y Updates (parches y actualizaciones): tanto el sistema operativo como el motor DB
deben tener instalados las ultimas versiones de patches y updates. Si es NT debe tener
instalado hasta el SP6 a.
Establecer una procedimiento de control periódico de los logs de auditoria y de modificación de
los archivos de sistema.
(
VER CHECKLIST PARA IIS 4 )
2. Canal Ethernet red local
Es recomendable que la/s interfaz de red del servidor este conectada a un switch, como así
también las terminales donde se desarrollan las aplicaciones críticas. El switch debería tener
un ACL permitiendo el acceso solo a las terminales autorizadas.
Es recomendable establecer un control periódico de trafico de este canal.
3. RDBMS Informix
Establecer una política de backups adecuada.
4. Canal Ethernet - red - Firewall - ServerDB
Solo aceptar conexiones a este servidor (desde esta placa) provenientes del firewall hacia el
ServerDB, restringir todos los demás ports. En esta red solo deberían conectarse dos
interfaces, una del servidor de DB y otra del firewall.
5. Motor ASP
Es recomendable actualizar y cargar los patches correspondientes, controlar los permisos y
valores de instalación por default. Altamente recomendable borrar todos los scripts de ejemplos
y demos.
Resolver tema del DSN.
6. Web Server
Placas de Red: es recomendable que este servidor posea dos placas de red, una orientada a la
red DMZ contra el firewall, la otra también hacia el firewall pero en esta solo se realizan las
conexiones al ServidorDB (la intención de disponer de dos placas es para evitar que el tráfico
de las consultas al motor no viaje por el canal de la DMZ, que eventualmente puede ser
compartido por otras aplicaciones o servicios).
Es recomendable que este servidor también sea instalado en la modalidad standalone. La
restricción de cuentas es aún mayor pues no requiere accesos remotos. Solo debería tener
habilitadas las cuentas de administrador y operador.
Servicios de Red: es aconsejable que este servidor solo corra los servicios de red
estrictamente necesarios para el funcionamiento del Web Server y consultas al motor DB.
No debería tener instalados los protocolos NetBios e IPX/SPX, solo habilitar TCP/IP.
Patches y Updates (parches y actualizaciones): tanto el sistema operativo como el motor DB
deben tener instalados las últimas versiones de patches y updates. Si es NT debe tener
instalado hasta el SP5.
Considerar la implementación de un servidor https para las aplicaciones ASP.
7. Canal Ethernet DMZ
Este canal está definido por el tramo de red entre el firewall y la primer placa de red del
servidor Web, no deberá haber nada instalado entre ambos dispositivos.
8. Canal Ethernet - Consultas a ServidorDB
Este canal, está definido por el segmento de red entre la segunda placa del servidor de WEB firewall y firewall – servidor de DB, por lo que no deberá existir ningún dispositivo instalado en
ambos segmentos.
9. Firewall
Este dispositivo deberá tener, al menos cuatro placas de red, distribuidas de la siguiente
manera:
1)- desde la red INTERNET
2)- hacia el servidor WEB
3)- desde el servidor WEB
4)- hacia el servidor de DB
El filtrado que debe realizar: desde internet, permitir sólo acceder al port donde esté corriendo
el servidor WEB. Permitir en las interfaces que vienen desde el servidor WEB y la que va hacia
el servidor de DB las consultas dirigidas sólo al port de la BD y recíprocamente.
10. Canal Ethernet red Pública
No debe cumplir nada especial, sólo que el único punto de acceso sea a través del firewall.
11. Clientes red locales
No encontramos nada específico sobre ellos al ser un ambiente controlado.
12. Clientes red Pública
Es recomendable que estos clientes posean browsers c/ soporte https.