12   CESNET CSIRT

12.1   Úvod

Cílem aktivity CESNET CSIRT je dosáhnout lepší úrovně interní organizace v oblasti bezpečnosti sítě CESNET2, služeb na ní provozovaných a v řešení vzniklých bezpečnostních incidentů ohlášených buď správci postižených sítí (strojů), nebo zjištěných zde provozovanými detekčními systémy. Dalším cílem je pokračovat ve spolupráci s existujícími mezinárodními aktivitami v oblasti bezpečnosti sítí a služeb, např. s organizacemi Terena, UKERNA, FIRST.

12.2   Řešení projektu

V roce 2004 jsme se zabývali především nalezením smysluplného a realizovatelného programu, zjištěním, co je největším nedostatkem na poli řešení bezpečnostních incidentů sítě CESNET2, v komunikaci mezi správci připojených institucí, a stanovením vhodného programu pro odstranění těchto nedostatků.

Jako stěžejní aktivita se v průběhu roku vyprofilovala činnost prvního oficiálního CSIRT týmu sdružení CESNET. Na konci roku 2003 byly položeny základní kameny pro vznik "bezpečnostního" týmu, na začátku roku 2004 byl tým oficiálně schválen v rámci projektu TERENA Trusted Introducer a jako CESNET-CERTS byl zařazen do seznamu známých bezpečnostních týmů (http://www.ti.terena.nl/teams/teams-c.html). Kontaktní adresou týmu je certs@cesnet.cz, fingerprint PGP klíče CESNET-CERTS týmu je:

341D 3EB0 0160 941F 6A06 4401 F9BF C741 9CAA 8579

CESNET-CERTS tým má v současné době tři členy, ale do budoucna počítáme s jeho rozšířením. Při stávající kapacitě tří členů týmu jsme schopni zaručit provoz 5 dní v týdnu. Pokud do budoucna budeme chtít 24hodinový tým, bude nutné výrazně navýšit jeho kapacitu.

V rámci zřízení CESNET-CERTS týmu došlo k následujícím akcím:

V souvislosti s provozem CESNET-CERTS týmu jsme se v průběhu roku zabývali následujícími oblastmi:

  1. Hledáním a testováním vhodného systému pro příjem, efektivní správu a archivaci ohlášených incidentů. Protože v současné době má CESNET-CERTS tým tři členy a očekává se jeho rozšíření, zvažujeme do budoucna nasazení podpůrného systému pro příjem a efektivní správu ohlášených incidentů. Při množství a charakteru řešení incidentů by byl velice vhodný podpůrný systém, který by dokázal např. jednoznačně odlišit incidenty podle stádia jejich rozpracovanosti. V letošním roce jsme otestovali několik vhodných systémů - RTIR, Bugzilla, Mantis). Jako nejvhodnější se pro naše účely zatím jeví systém Mantis (http://www.mantisbt.org).
  2. Kontaktní informace institucí připojených k síti CESNET2 - v současné době je stále ještě problémem dohledat správnou kontaktní osobu v případě, že je ohlášen bezpečnostní incident z určité IP adresy (patřící do našeho autonomního systému AS2852), protože neexistuje žádná spolehlivá databáze kontaktních informací. Nejdříve jsme zvažovali využít pro tento účel existující databáze RIPE (http://www.ripe.net/) s tím, že informace v ní doplníme, později jsme zvažovali vybudování databáze kontaktů s použitím již existující LDAP struktury. Po zmapování tohoto řešení a akcí, které se na tomto poli v minulých letech již podnikly a s jakým výsledkem, jsme prozatím obě možnosti zavrhli jako nevyhovující a ponecháváme si je v záloze pouze jako doplňkové řešení (problém by byl již se získáním prvotních dat, s jejich údržbou, aktualizací, zodpovědností, ...). Rozhodli jsme se jít cestou schválení sady "Security Policy" dokumentů, které by měly připojené instituce motivovat ke zřízení (ne nutně formálnímu) týmů obdobných týmu CESNET-CERTS. Naším cílem je vytvořit něco jako hierarchickou strukturu bezpečnostních týmů a docílit toho, aby tyto týmy o sobě získaly povědomí a v případě řešení problému věděly, kam se mohou obrátit se žádostí o pomoc.
  3. V průběhu roku 2004 se do projektu začlenil další vývoj dvou systémů, které byly již v minulosti řešeny jako samostatné projekty - IDS (Intrusion Detection System) a Auditovací systém. V případě IDS došlo k jeho plnému zautomatizování, navíc jsme zapracovali připomínky jednotlivých správců (správci mají různé představy o tom, kdy, v jakém formátu a jak často si přejí dostávat zprávy od IDS) a uzpůsobení systému tak, aby se požadavky jednotlivců daly pružně splnit. V případě Auditovacího systému došlo v průběhu roku ze strany lokálních správců sdružení CESNET k definování požadavků na jeho funkčnost, v roce 2005 na základě těchto připomínek začneme integrovat změny.

Dále došlo k navázání užší spolupráce s evropskými projekty zabývajícími se problematikou bezpečnosti počítačových sítí, a to především s projektem TRANSITS (http://www.ist-transits.org/) provozovaným asociací TERENA a UKERNA. V rámci této aktivity jsme se podíleli na organizaci úspěšného 5th TRANSITS Workshopu, který se uskutečnil v termínu 10.-12. 11. 2004 v Praze-Průhonicích, a kterého se zůčastnilo několik zaměstnanců sdružení CESNET. Jedná se o intenzivní třídenní školení pořádané dvakrát ročně, které má za cíl zasvětit do problematiky bezpečnosti nové a potenciální členy bezpečnostních skupin.

12.3   Plány pro rok 2005

V návaznosti na rok 2004 bychom se rádi v následujících letech zaměřili na ustanovení pravidel pro komunikaci mezi institucemi připojenými k síti CESNET2 při řešení bezpečnostních incidentů. Plánujeme poskytnout těmto institucím návody, informace, pravidla a motivaci pro zřízení bezpečnostních týmů. Dále se zaměříme na zlepšení informovanosti a odbornosti pracovníků sdružení, a to především CESNET Monitoring centra, a na další vývoj podpůrných nástrojů pro odhalování potenciálních bezpečnostních rizik a jejich předcházení (Intrusion Detection System a Auditovací systém). Počítáme rovněž s vývojem a rozšířením pole působnosti CESNET-CERTS týmu a s další spoluprací s mezinárodními projekty.

předchozí
obsah 		následující
další weby:fond rozvojemetacentrumCzechLightpřenosyvideoservereduroameduID.cz