19   Zabezpečení lokálních sítí CESNET2

CESNET2 zahrnuje řadu samostatných lokálních sítí obsahujících počítače s nejrůznějšími operačními systémy. Zajištění bezpečnosti velkých heterogenních sítí klade značné nároky na pracovní kapacitu jejich správců a je známo, že právě velké univerzitní sítě často mají nedostatečně zabezpečené stroje. Cílem druhého roku tohoto projektu bylo usnadnit správcům jejich nezáviděníhodný úděl tím, že jim zpřístupníme technologii bezpečnostního auditu, systém pro detekci neoprávněného přístupu do sítě a systém pro nekonvenční boj se síťovými viry a hackery.

19.1   Bezpečnostní audit

V průběhu roku 2001 jsme na všech třech pracovištích začali provozovat pod operačním systémem Linux (jádro 2.4, distribuce Debian, RedHat a SuSE) program NESSUS, volně šiřitelný v rámci licence GNU. Zajišťuje vlastní bezpečnostní audit sítě, a to v grafickém nebo v řádkovém režimu (spouštění v grafickém režimu je uživatelsky příjemnější). NESSUS umožňuje volbu kategorie auditu (jen bezpečné, nebo i potenciálně nebezpečné testy), detailní volbu jednotlivých bezpečnostních testů, scan TCP a UDP portů včetně rozsahu, maximální počet strojů současně testovaných, atd. Nové bezpečnostní testy jsou pravidelně zveřejňovány na FTP serveru NESSUSu (ftp.nessus.org) a lze je odtamtud stahovat automaticky.

Všechny stroje, které mají být otestovány během jednoho běhu programu NESSUS, mají společný konfigurační soubor. Pokud je třeba testovat stroje různými druhy testů, lze testované stroje rozdělit do několika skupin a jejich audit spouštět samostatně. Pro snadnější obsluhu programu a distribuci výsledků jsme doplnili tyto funkce:

Na základě požadavků správců v dejvické síti CESNETu byl vyvinut i program WebBackEnd (WBE), který podstatně zjednodušil přístup k výsledkům auditu: nerozesílají se už jednotlivým správcům elektronickou poštou jako u programu BE, ale vystavuje je HTTPS server. Po ověření totožnosti má každá oprávněná osoba přístup ke všem výsledkům auditu všech strojů, které sama spravuje. Výsledky se zobrazují ve dvou podobách:

Mimoto se správcům rozesílá elektronickou poštou stručné nezašifrované upozornění o tom, že na HTTPS server přišly nové výsledky auditu, a to včetně stručného shrnutí výsledků pro každý otestovaný stroj.

19.2   Detekce neoprávněných přístupů - IDS

Druhou částí projektu byla instalace systému pro detekci neoprávněného přístupu do sítě (Intrusion Detection System). Zvolený program SNORT, díky licenci GNU volně šiřitelný, je v provozu v sítích AV ČR Praha-Krč a VŠB-TU Ostrava. Používá se zvláště při podezření z útoků na jiné systémy a pro detekci síťových virů, resp. virů šířících se elektronickou poštou.

19.3   LaBrea

Program LaBrea je program inspirovaný ložiskem asfaltu v LaBrea (Los Angeles, Kalifornie, USA), které po desetitisíce let fungovalo jako past na kolemjdoucí oběti.

Systém LaBrea dokáže detekovat pokusy o přístup na neexistující stroje v místní síti - ty obvykle způsobují síťové viry nebo hackeři pátrající po bezpečnostních dírách. Server LaBrea na tyto dotazy odpoví místo oněch neexistujících strojů a s útočníkem naváže spojení sám, přičemž se přenáší minimální objem dat (typicky 0,34 B/s při komunikaci se systémy Windows NT). Toto spojení trvá tak dlouho, dokud se program nebo útočník nedovtípí, že se "nic neděje", a toto spojení zruší. To může trvat velmi dlouho a po celou tuto dobu nemůže útočník (resp. toto jeho vlákno) škodit nikde jinde.

Program LaBrea se vyznačuje mnoha dalšími pozitivními vlastnostmi. Správci sítě mj. uvítají, že jeho instalace je poměrně jednoduchá a nevyžaduje téměř žádnou obsluhu. Program LaBrea je obecně hodnocen jako velmi účinná metoda boje proti síťovým virům (CodeRed, Nimda a podobné).

V dejvické síti byl navíc doplněn o programy LBbe a LBrep (LaBrea BackEnd a LaBrea Report). LaBrea BackEnd zpracuje výstupní soubor programu LaBrea a vytvoří řadu souborů s informacemi o útocích na chráněnou síť. Počet těchto souborů minimalizuje tak, aby zprávy o všech útocích, za které zodpovídá stejná skupina správců sítí nebo domén, byly uvedeny v jediném dopise. Počet těchto souborů lze dále omezit zadáním parametrů na příkazové řádce. Minimalizuje se i počet dotazů na Whois servery při vyhledávání informací o zodpovědných správcích. Program LaBrea Report rozesílá soubory vytvořené programem LaBrea BackEnd příslušným správcům a upozorňuje, že v jejich síti pravděpodobně existují kompromitované stroje.

19.4   Výsledky

Nabízíme tři varianty bezpečnostního auditu: pomocí PTS, klasického FE/BE a nového FE/WBE.

PTS umožňuje nejjednodušší spouštění programu NESSUS s možností volby použitého konfiguračního souboru pro každý testovaný stroj. Výsledky auditu sám rozesílá příslušným správcům elektronickou poštou.

FrontEnd (FE) vykoná inventuru strojů v těch rozsazích IP adres, které zvolí správce sítě. Program vytvoří seznam všech strojů určených k auditu, zjistí jejich stav podle typu odezvy (Broadcast, Loss, OK, TimeOut, WrongResponse), zaznamená referenční stav, ohlásí změny proti referenčnímu stavu (včetně případných změn v reverzní doméně) a vytvoří seznam strojů, které má NESSUS otestovat, i konfigurační soubor použitelný pro BE nebo WBE. Program nabízí možnost práce v interaktivním nebo dávkovém režimu, volbu pracovních adresářů (s různými konfiguracemi testovaných sítí) a možnost výpisu podrobných ladicích zpráv.

BackEnd (BE) slouží k bezpečné distribuci výsledků auditu: pro každého správce vytvoří samostatný soubor s výsledky auditu všech jeho otestovaných strojů (každý stroj může mít několik různých správců). Tyto zašifrované soubory pak rozešle program Rep.

Decode (DEC) je určen k dekódování výsledků auditu, které rozesílá program Rep.

WebBackEnd (WBE) podobně jako BackEnd distribuuje výsledky auditu v zabezpečené formě, ale způsobem pro koncové uživatele podstatně jednodušším: výsledky jsou vystaveny na serveru https://spider.cesnet.cz/.

Bezpečnostní audit strojů v dejvické síti CESNETu probíhá pravidelně každých 14 dní. Je rozdělen na tyto části:

  1. audit s použitím téměř všech dostupných testů "Denial of Service" (asi 760 strojů ve dvou samostatných částech)
  2. audit s použitím pouze bezpečných testů "noDOS" (25 strojů).

O tom, že proběhl další bezpečnostní audit, jsou správci informováni dopisem, který vypadá asi takto:

From: AuditAdmin <audit@cesnet.cz>
Date: Wed, 24 Jul 2002 18:52:33 +0200
To: (...)
Subject: AUDIT 24.7.2002 - noDOS

Ahoj,
na serveru https://spider.ten.cz/app/nessus
jsou vystavene uplne vysledky bezpecnostniho auditu techto stroju:
195.113.134.aaa (noDOS # aaaaa.cesnet.cz): Security warnings found
195.113.134.bbb (noDOS # bb.cesnet.cz): Security warnings found
195.113.144.ccc (noDOS): No response
195.113.144.ddd (noDOS): Security holes found

Audit take zjistil zmeny stavu techto stroju:
195.113.134.bbb (noDOS # bb.cesnet.cz)
195.113.144.ccc (noDOS)
195.113.144.ddd (noDOS)

Uspesny boj s risi zla preje          AuditAdmin.

Řešitelé tohoto projektu vyzkoušeli NESSUS a jeho pomocné programy v různých variantách a konfiguracích a pravidelně jich používají ve třech místních sítích CESNET2 (AV ČR Praha-Krč, CESNET Praha-Dejvice a VŠB-TU Ostrava). Každý řešitel projektu provozuje auditační systém v konfiguraci podle svého uvážení a podle požadavků správců strojů v místní síti.

Během této doby jsme díky NESSUSu a jeho pomocným programům našli velké množství bezpečnostních děr testovaných strojů a administrátorům sítí jsme tak usnadnili plnění jejich povinností. Správci sítě mají nyní k dispozici systém, který jim pravidelně a automaticky hlásí nově objevené bezpečnostní problémy testovaných strojů, obvykle i včetně doporučení, jak problém odstranit.

Systém IDS SNORT je prozatím v provozu jen v sítích AV ČR Praha-Krč a VŠB-TU Ostrava. Úspěšně se používá, je-li třeba monitorovat komunikaci do a ze sítě, o níž existuje podezření, že je napadena zvenčí nebo zevnitř. Program se osvědčil - např. v síti AV ČR Praha-Krč pomohl odhalit šíření síťových virů ve sdílených adresářích počítačů s OS Windows. Prozatím byl vyzkoušen se síťovou kartou Fast Ethernet, v příštím roce bychom rádi ověřili jeho výkon s gigabitovou kartou.

Systém LaBrea byl úspěšně implementován na všech třech řešitelských pracovištích tohoto projektu. Graf na obrázku 19.1 ukazuje, kolik vnějších útoků systém zaznamenal v jediné malé podsíti dejvického CESNETu koncem listopadu 2002 a kolik vláken dokázal zachytit:

[Obrázek]

Obrázek 19.1: Graf útoků zaznamenaných systémem LaBrea

Program LaBrea Report instalovaný v dejvické síti rozesílá výsledky z běhu systému LaBrea zodpovědným osobám jednou týdně a upozorňuje je, že v jejich síti pravděpodobně existují kompromitované stroje. Typický dopis vypadá asi takto (kráceno):

To: (...)
From: IDS <ids@cesnet.cz>
Subject: [IDS021206.0042] Please check your network integrity
Date: Mon, 6 Dec 2002 10:36:08 +0100

Dear Administrator,
I have detected security hole probes coming from your IP
or domain space. This means someone is probing the Internet
looking for security holes and this is a strong indicator that
someone or something is misusing your computing facilities.
The person(s) doing this may be the owner(s) of account(s) at
the originating address(es) listed or someone who has broken
into your system(s) and is launching further attacks from your
network. Your computer(s) may also be infected by a network worm.
Would you please try to investigate this and/or inform all parties
responsible that their system(s) may be compromised?

Please find below the appropriate IDS log excerpt(s).
Time zone used: Central European Time (GMT+1).

Yours sincerely,
Intrusion Detection System, CESNET, Prague, The Czech Republic.

P.S.: I am only a machine and there is no need to respond.
However, should you need to contact my master, please do not
hesitate to `reply' to this letter. :-)

***************************************************************
351 connections from a.b.115.230 (pc2-eswd1.....com)

Start of scan: 1038521917 = Thu Nov 28 23:18:37 2002
1038521917 a.b.115.230 3844 -> 195.113.xxx.2 1433
... skipping 349 lines ...
1038601444 a.b.115.230 4919 -> 195.113.xxx.2 1433
End of scan: 1038601444 = Fri Nov 29 21:24:04 2002.
Duration:  22:05:27. Frequency:   0.265 [conn/min].

***************************************************************

302 connections from a.b.240.140 (pc1-oxfd1.....com)

Start of scan: 1039015945 = Wed Dec  4 16:32:25 2002
1039015945 a.b.240.140 24908 -> 195.113.xxx.2 21
... skipping 300 lines ...
1039017922 a.b.240.140 25362 -> 195.113.xxx.121 1080
End of scan: 1039017922 = Wed Dec  4 17:05:22 2002.
Duration:   0:32:57. Frequency:   9.165 [conn/min].

***************************************************************

16 connections from a.b.80.136 (pc1-hudd1.....com)

Start of scan: 1038793330 = Mon Dec  2 02:42:10 2002
1038793330 a.b.80.136 2942 -> 195.113.xxx.28 80
... skipping 14 lines ...
1038794681 a.b.80.136 3906 -> 195.113.xxx.28 80
End of scan: 1038794681 = Mon Dec  2 03:04:41 2002.
Duration:   0:22:31. Frequency:   0.711 [conn/min].

Z reakcí těch správců, kteří na dopisy odpověděli, je zřejmé, že za tuto službu jsou vděčni.

Všechno programové vybavení vzniklé v rámci tohoto projektu je průběžně zveřejňováno na FTP serveru ftp://ftp.cesnet.cz/local/audit/. Informace o postupu řešení a o nových verzích programů dostávají všichni zájemci, kteří se přihlásili do konference AUDIT-L@cesnet.cz.

19.5   Plány do budoucna, předpokládaný další postup

Původně jsme předpokládali, že projekt auditu v roce 2002 skončí. Na setkání řešitelů v Podlesí ale bylo dohodnuto, že systém projde dalšími zlepšeními tak, aby správci nedostávali zprávy jako dosud ve formátu "prostý text", který může správcům většího počtu strojů připadat málo přehledný, ale ve tvaru, který by si sami mohli konfigurovat podle svého uvážení. Pracovníci z útvaru provozu služeb sítě předběžně přislíbili, že dodají své připomínky a budou se podílet na řešení některých částí tohoto projektu. Plánujeme i další zdokonalení pomocných programů pro systém LaBrea.

Při této příležitosti je třeba poděkovat Ing. Danu Studenému ze zmíněného útvaru, který již nyní má zásluhu na implementaci systému WebBackEnd na HTTPS serveru, i když nepatřil mezi řešitele tohoto projektu.

předchozí
obsah		 následující
další weby:fond rozvojemetacentrumCzechLightpřenosyvideoservereduroameduID.cz