21   Zabezpečení lokálních sítí CESNET2

21.1   Stručné shrnutí

CESNET2 zahrnuje řadu samostatných lokálních sítí obsahujících počítače s nejrůznějšími operačními systémy. Zajištění bezpečnosti velkých heterogenních sítí klade velké nároky na pracovní kapacitu jejich správců a je známo, že právě velké univerzitní sítě mívají stroje nedostatečně zabezpečené. Cílem tohoto projektu bylo ulehčit správcům jejich nezáviděníhodný úděl tím, že jim zpřístupníme velmi užitečné programové vybavení - částečně šířené v rámci licence GPL, částečně vytvořené v rámci tohoto projektu.

21.2   Bezpečnostní audit - program NESSUS

Program NESSUS, jeho pomocné programy a jejich použití v sítích CESNETu byly dostatečně popsány v loňské zprávě. Program NESSUS je nyní výrazně zdokonalen: tým jeho autorů odstranil velké množství chyb a jeho instalace je jednodušší - stačí spustit jediný instalační program. Bezpečnostní testy NESSUSu průběžně přibývají, v polovině prosince 2003 jich je asi 1900.

U pomocných programů NESSUSu, které jsme vyvinuli v rámci projektu, nebylo třeba nic podstatného měnit.

21.3   IDS - program SNORT

SNORT je považován za standard a nejrozšířenější program ve svém oboru (monitorování provozu sítě za nulovou cenu). I on byl dostatečně popsán v loňské zprávě. Pro SNORT jsme nevyvíjeli žádné pomocné programy.

21.4   IDS - program LaBrea

Již v loňské zprávě jsme uvedli, že LaBrea výrazně zpomaluje a omezuje šíření počítačových virů a síťových červů, navíc téměř bez nutnosti obsluhy. Doplníme, že LaBrea zaznamenává i přijaté pakety typu SYN-ACK, které signalizují, že někdo naším jménem a s falšovanou zdrojovou IP adresou navazuje TCP spojení (pravděpodobně zahájil útok typu Denial of Service SYN FLOOD). Vzhledem k tomu, že LaBrea na to odpoví paketem RST, spojení se ukončí a útok skončí neúspěšně. Je to další důkaz, jak činnost systému LaBrea Internetu prospívá.

Užitek plynoucí z programu LaBrea lze výrazně rozšířit několika pomocnými programy vyvinutými v rámci našeho projektu. Na ně se letos nejvíce soustředilo naše úsilí tak, aby programy usnadnily práci nejen administrátorům systému LaBrea, ale i těm správcům sítí, kteří budou dostávat zprávy o potenciálně kompromitovaných strojích. Tyto programy zpracují data z výstupního souboru LaBrey a tím LaBreu změní v jednoduchý a velmi účinný systém pro detekci útoků (IDS) směřovaných do naší sítě. Ve srovnání se standardními systémy IDS se LaBrea s našimi doplňky vyznačuje těmito důležitými vlastnostmi:

21.5   Pomocné programy pro systém LaBrea

21.5.1   LaBreaBackEnd

Program lze kdykoli předčasně ukončit a případně i znovu spustit beze ztráty výsledků.

Na příkazové řádce lze omezit počet vytvářených výstupních souborů a lze zadat tzv. limit - tj. takový počet pokusů o navázání spojení z jediné IP adresy, který už se bude ignorovat. Implicitně se ignorují záznamy o těch strojích, z nichž byl zaznamenán minimální počet pokusů o připojení, což je obvykle 1.

Pro urychlení běhu a omezení komunikace s WHOIS servery obsahuje program rychlé vyrovnávací paměti (cache) pro uložení výsledků předešlých dotazů. Na stejný adresový rozsah nebo na stejnou doménu tedy není nutné se ptát několikrát. (Přesto si správci WHOIS serveru APNICu vyžádali potvrzení od ředitele CESNET, z. s. p. o., že jde o oficiální projekt sdružení.)

Program registruje pouze útoky z těch adresových rozsahů, které IANA alokovala některému Regional Internet Registry. Je tedy třeba sledovat oficiální zprávy o alokaci nových adresových rozsahů.

Pokud existuje reverzní záznam stroje, z něhož pocházel útok, kontroluje se, zda se shoduje s příslušným adresovým záznamem. Pokud se záznamy neshodují, údaje o doméně se nezjišťují.

Programu lze zadat seznam rozsahů IP adres těch sítí, které nás zvláště zajímají (např. CESNET - sítě patřící do AS 2852). Záznamy o útocích z těchto adresových rozsahů se mohou zpracovávat samostatně - např. častěji nebo jinak než záznamy o útocích ze zbytku Internetu.

Podle požadavků jednotlivých správců sítí nebo domén je také možné:

21.5.2   LaBreaReport

Vzhledem k tomu, že dopisy pro správce sítí CESNETu dokážeme poslat na přesnější adresy, než jaké lze získat dotazem na WHOIS servery, byl program LaBreaReport přepracován tak, aby v prvním průchodu uschoval dopisy pro správce sítí CESNETu k ruční kontrole adres a aby odeslal jen dopisy do zbytku Internetu. (Dopisů pro CESNET bývá jen několik.) V druhém průchodu programu LaBreaReport se pak rozešlou i tyto uschované dopisy. Program přitom automaticky odstraní příliš obecné adresy - např. abuse@cesnet.cz.

Podle adres správců sítě program určí, zda jim má poslat dopis jen v české verzi, jen v angličtině, nebo v obou jazycích.

Na příkazové řádce lze zadat dva různé testovací režimy: v jednom z nich se žádné dopisy neodesílají, v druhém se odesílají jen na zvolenou testovací adresu.

21.5.3   Program LaBreaReportDetailed

ocení zejména ti správci LaBrea serverů, kteří budou požádáni o zaslání detailních informací o útocích. Umožňuje snadné vyhledání záznamů týkajících se jediného útočícího stroje (jeho IP adresa se zadává přímo na příkazové řádce) nebo většího počtu strojů (na příkazové řádce se zadá název souboru). Lze vyhledávat i údaje o všech strojích z jedné nebo více sítí velikosti /24 nebo /16. Výsledný soubor s výsledky uvádí datum a čas srozumitelné člověku (ne tedy "epoch time" jako LaBreaReport) a neomezuje se na první a poslední záznamy o útocích. Stejně jako LaBreaReport maskuje část adresy napadených strojů.

21.6   Program SYSLOG-NG

V síti VŠB-TUO byl zřízen síťový server SYSLOG-NG, který je doposud nasazen v experimentálním provozu. Na tento server posílají vybrané unixové servery a síťové prvky své logovací informace; ty se ukládají do samostatných souborů podle plně kvalifikovaného doménového jména a podle "syslog facility". Tyto soubory jsou průběžně analyzovány programy vytvořenými pro tento účel. Výběr vhodného programu pro on-line analýzu logovaných informací stále probíhá.

Některé typy útoků ohrožující bezpečnost systému či sítě bývají zaznamenány a jsou zaslány také na SYSLOG server. V případě detekce podezřelé události na centrálním SYSLOG serveru je vhodné tuto událost zaznamenat, popř. na ni automaticky reagovat vhodným opatřením. Toto řešení nezaznamenává pouze bezpečnostní incidenty, ale také různě vážné výpadky a další události, které mohou mít vliv na funkčnost provozovaného systému a služeb na něm běžících. Pro nasazení v ostrém provozu je nutno vyřešit následující úkoly:

Při výběru technického vybavení SYSLOG serveru klademe důraz zejména na výkon procesoru, operační paměť, diskovou kapacitu a rychlost komunikace disků. V našem případě byl použit stroj DELL Optiplex GX150. Jako OS byla zvolena distribuce Linuxu Debian Woody se standardním jádrem řady 2.4. K serveru je připojen GSM modem Siemens MC35i, který se využívá jako SMS brána a přes nějž lze zasílat příslušná upozornění. Na tato upozornění pak může administrátor reagovat mnohem pružněji i ve chvílích, kdy není přítomen u svého terminálu. Přestože řešení ještě není zcela hotové, již v této chvíli je zřejmé, že přináší užitek z pohledu funkčnosti a bezpečnosti systému i celé sítě.

21.7   Zkušenosti, výsledky

21.7.1   NESSUS

Řešitelům, na které jsme se spoléhali, se pro časové zaneprázdnění nepodařilo splnit, co si oddělení provozu přálo: zobrazovat dokumenty s výsledky bezpečnostního auditu (NESSUS v kombinaci s WebBackEnd) ve formátu XML a tím dosáhnout většího komfortu obsluhy (přehlednost výsledků, možnost nezobrazovat výsledky vybraných testů apod.). Bezpečnostní audit strojů v dejvické síti CESNETu však probíhal i letos pravidelně každé dva týdny a jeho podrobné výsledky si může každý autorizovaný uživatel prohlédnout na HTTPS serveru poté, co dostane elektronickou poštou jejich stručné shrnutí.

Na VŠB-TU Ostrava byl pro bezpečnostní audit využíván NESSUS v kombinaci s nástrojem PTS, který byl také vyvinut v rámci projektu. Zprávy o testování serverů byly distribuovány správcům jednotlivých systémů. Testy se provádějí jednou týdně.

Výsledky použití programu NESSUS v síti AV ČR potvrzují známý fakt, že prakticky žádnou instalaci MS Windows nelze označit jako bezpečnou. Ukazuje se, že nelze spoléhat na to, že běžní uživatelé budou sami dbát na bezpečnost svých počítačů, a jejich bezpečnost je třeba zajistit centrální správou. NESSUS je tedy v síti AV ČR spouštěn pouze příležitostně a slouží zejména k odhalování dlouho neaktualizovaných systémů. S výsledky programu je vždy seznámen správce příslušné sítě.

21.7.2   SNORT

Program lze bez problémů provozovat bez jakýchkoli pomocných programů; je jen třeba ho správně nakonfigurovat, aby hlásil minimální počet falešných poplachů, což obvykle trvá dlouho - podle zkušeností administrátora a velikosti provozu v síti. Výhodou je, že zaznamenaná data mohou posloužit k detailnímu zkoumání dat o útoku.

SNORT byl provozován na všech třech řešitelských pracovištích v režimu IDS, nejvíce na AV ČR. Velmi se osvědčil při odhalování pokusů vnějších útočníků o průnik do sítě, při odhalování útoků na jednotlivé TCP i UDP porty i při detekci jakéhokoli "podezřelého" provozu uvnitř sítě.

21.7.3   LaBrea

V dejvické síti běží LaBrea server již přes rok a každý týden rozeslal zhruba 500-1500 dopisů správcům sítí nebo domén, z nichž útok pocházel. Naprostá většina těch oslovených správců, kteří osobně odpověděli, tyto informace uvítala a byla za ně vděčna. Jejich reakce a návrhy pomáhaly při vývoji pomocných programů.

[Obrázek]

Obrázek 21.1: Útoky zaznamenané systémem LaBrea (18. 10.-8. 12. 2003)

V létě 2003 se v Internetu rozšířily velmi aktivní viry, jejichž působení stále trvá a potvrzuje, jak je server LaBrea užitečný - viz obrázek. Poznámka: Menší šířka pásma v období 13. 10.-20. 10. byla způsobena změnou konfigurace (parametr "-p"), nikoli menším počtem útoků

[Obrázek]

Obrázek 21.2: Detailní záznam útoků ze dne 28. 11. 2003

Porovnáním nejnovějších dat s daty publikovanými v minulé výroční zprávě tohoto projektu zjistíme, že na podzim 2002 trvalo asi 14 dní, než tok dat od útočníků na server LaBrea dosáhl saturace (tehdy 2 kB/s). O rok později, na podzim 2003, bylo dosaženo saturace (8 kB/s) za pouhých 7 hodin...

21.8   Závěr a plány

Všechno programové vybavení vzniklé v rámci tohoto projektu je průběžně zveřejňováno na FTP serveru ftp://ftp.cesnet.cz/local/audit/. Informace o postupu řešení a o nových verzích programů dostávají všichni zájemci, kteří se přihlásili do konference AUDIT-L@cesnet.cz.

21.8.1   Plány do budoucna, předpokládaný další postup

Programové vybavení pro LaBreu funguje velmi dobře. Hodláme je udržovat i nadále, ale předpokládáme, že většina práce je hotova.

Pro SNORT nehodláme vyvíjet žádné pomocné programy. Jeho činnost je užitečná, ale předpokládáme, že se ve většině případů bude využívat, jen pokud ostatní metody řešení problémů selžou.

Program NESSUS je již dlouho provozován v rutinním provozu, a to podle potřeby s programem PTS nebo WebBackEnd. Obě alternativy poskytují správcům strojů všechny potřebné informace v textovém režimu. Větší uživatelský komfort, který by uvítalo oddělení provozu, by vyžadoval použití formátu XML a výrazně přepracované uživatelské rozhraní. Pokud se pro tento úkol podaří zajistit dostatečné pracovní kapacity, nic by nemělo stát v cestě jeho splnění.

předchozí
obsah 		následující
další weby:fond rozvojemetacentrumCzechLightpřenosyvideoservereduroameduID.cz