12   CESNET CSIRT

Spolu s nárůstem počtu uživatelů, kteří mají přístup do celosvětové sítě Internet, stoupá i počet bezpečnostních incidentů, jichž se uživatelé dopouštějí svou nedbalostí, neznalostí nebo úmyslně. Přitom požadavky na bezpečnost sítí a služeb vzhledem k vývoji Internetu, provozovaným aplikacím a charakteru přenášených dat neustále rostou. Proto je nutné se otázkám počítačové bezpečnosti systematicky věnovat, řešit vzniklé bezpečnostní incidenty a snažit se jim pokud možno předcházet. Tento nelehký úkol mají v rámci svých domovských organizací za úkol tzv. bezpečnostní týmy. V rámci sdružení CESNET působí od roku 2004 bezpečnostní tým CESNET-CERTS.

12.1   Aktivity CESNET-CERTS týmu

CESNET-CERTS tým byl vytvořen na přelomu let 2003 a 2004, oficiálně existuje od ledna 2004, kdy jsme jej formální cestou deklarovali v mezinárodním kontextu jako CSIRT (Computer Security Incident Response Team) tým a zveřejnili jeho existenci v rámci aktivity TF-CSIRT, kterou zaštituje organizace TERENA. Aktivita TF-CSIRT má za cíl vytvořit v Evropě síť národních a institucionálních bezpečnostních týmů, které spolu úzce spolupracují na prevenci a řešení bezpečnostních incidentů. Důraz je kladen zejména na osobní kontakty, znalost členů ostatních týmů a sdílení a předávání informací.

Členy týmu CESNET-CERTS se v roce 2004 stali tři zaměstnanci sdružení, kteří k práci v bezpečnostním týmu měli vzhledem ke svému dosavadnímu pracovnímu zaměření v rámci sdružení nejblíže. Základními aktivitami týmu se staly následující činnosti:

CESNET-CERTS se snaží aplikovat získané poznatky ve prospěch celé sítě CESNET2 a cílově dosáhnout lepší organizovanosti při řešení bezpečnostních otázek v síti CESNET2.

Nyní po dvou letech existence týmu a po rozšíření aktivit se počet tří členů ukazuje jako nedostatečný. Příjem a zpracování hlášení bezpečnostních incidentů členům CESNET-CERTS zabírá hodně času, a přitom v převážné většině vyžaduje jen použití zdravého selského rozumu a znalost základních principů Internetu (IP rozsahů, domén).

CESNET-CERTS tým je totiž hlavním kontaktem pro řešení bezpečnostních otázek pro celou síť CESNET2, tzn. pro autonomní systém AS2852. V roce 2005 přijal CESNET-CERTS přibližně 800 hlášení bezpečnostních incidentů, která bylo třeba přeposlat koncovým správcům připojených organizací se žádostí o vyřešení.

Každého asi napadne, proč nejsou incidenty hlášeny přímo do koncových institucí. Na tuto otázku není tak snadné odpovědět. Částečně je to způsobeno historickým vývojem Internetu - řada systémů pro hlášení incidentů se plní staticky a nedokáže tedy reflektovat změny kontaktních informací v databázích regionálních internetových registrátorů a registrátorů domén. Je proto běžné, že takovéto systémy celá léta nejsou schopny zaznamenat změny v kontaktních informacích přidělených IP rozsahů. A částečně se jedná o úmysl - hlášení o incidentu se cíleně posílá na hlavní kontakt pro řešení bezpečnostních incidentů daného autonomního systému. V případě sítě CESNET2 je to adresa abuse@cesnet.cz, kterou přijímá a vyřizuje tým CESNET-CERTS.

Abychom udrželi kvalitu své práce a měli čas na další rozvoj, rozhodli jsme se tým posílit. Jako optimální řešení nás napadlo začlenit do něj pracovníky CESNET Monitoring Centra (CMC). Jedná se o pracoviště s nepřetržitým provozem (24 hodin denně, 365 dní v roce), které má na starosti dohled nad sítí CESNET2 a koordinaci při řešení výpadků sítě a provozovaných služeb. Naším cílem je přesunout příjem hlášení incidentů, základní analýzu a zpracování incidentu na CMC.

Z tohoto důvodu jsme se v letošním roce pustili do prozkoumání možností, které nabízí tiketovací systémy. Používají se na příjem hlášení incidentu, jeho zpracování a zaznamenání postupu při řešení. Tři lidé zvyklí spolupracovat, jako je to v případě tří členů CESNET-CERTS, se totiž ještě pohodlně dokáží domluvit na pravidlech při elektronické komunikaci, ale u většího počtu lidí je potřeba systém odolný proti chybám, aby nedocházelo ke ztrátě důležitých dat, intuitivní pro ovládání a v neposlední řadě autentizovaný a autorizovaný.

V průběhu roku jsme otestovali téměř desítku tiketovacích systémů a dlouho se zdálo, že žádný našim nárokům nevyhoví. U těch, které se nám svými funkcemi nejvíce líbily, bohužel chyběla podpora S/MIME a PGP, které jsou pro naši práci vzhledem k ochraně identity a integrity obsahu nezbytné. Zvažovali jsme nasazení webového poštovního rozhraní, nebo doprogramování funkčního rozhraní do poštovního klienta Thunderbird. Nakonec jsme se ale rozhodli pro nasazení již v loňském roce testovaného systému OTRS (Open Ticket Report System), a to především proto, že jeho vývoj začal jít prudce vpřed a v posledních měsících do něj byla implementována podpora S/MIME a PGP. Nyní systém OTRS běží ve zkušebním provozu a plánujeme jeho nasazení na CMC. Přesun fáze příjmu a přeposlání incidentu koncovému správci zodpovědnému za danou síť na pracovníky CMC bude mít navíc ten pozitivní efekt, že se k cílovému správci dostane mnohem dříve, protože služba CMC je nepřetržitá.

12.1.1   Vývoj bezpečnostní strategie pro síť CESNET2

V prvním pololetí roku 2005 jsme při řešení bezpečnostních incidentů získávali zkušenosti, jež nám posloužily hned v několika oblastech. Ke zlepšení práce týmu, definování základních pravidel a postupů při řešení bezpečnostních incidentů, které se finálně staly základem interní politiky CESNET-CERTS týmu. Dále jsme všechny získané zkušenosti použili pro realizaci odborného semináře cílově zaměřeného na správce sítí a výpočetní techniky CESNET2 a odborníky zabývající se bezpečností sítí a služeb. Seminář s názvem "Bezpečnost na síti" se konal 14. listopadu 2005 v Konferenčním centru v Dejvicích a zúčastnilo se jej více než 40 zástupců z institucí připojených k síti CESNET2.

Skladbu a náplň přednášek jsme koncipovali tak, abychom zúčastněným podali základní přehled problematiky bezpečnosti počítačových sítí a služeb, možnosti předcházení bezpečnostním incidentům, vytvoření bezpečnostního týmu v rámci instituce a jeho činnosti. Do programu jsme zařadili také přednášku na téma "Právní aspekty spojené s bezpečností sítí a služeb na ní provozovaných". V roce 2005 se na seminářích řešitelů výzkumného záměru a při komunikaci mezi CESNET-CERTS a koncovými správci ukázalo, že nastal pravý čas, aby do této problematiky vnesl vhodnou formou jasno erudovaný odborník a dále se nešířily mylné představy o stavu českého a mezinárodního práva komolenou ústní formou.

Dále jsme v tomto roce pracovali na vývoji dokumentů definujících bezpečnostní politiku sítě CESNET2. Vzhledem k akademickému charakteru sítě jsme se rozhodli dát členským organizacím možnost se na tvorbě politik a jejich zavádění do praxe aktivně podílet. V posledním čtvrtletí bylo vytvořeno fórum složené z vybraných odborníků členů sdružení CESNET, kteří v roli zástupců svých domovských institucí budou mít možnost oponovat navržené politiky a další plány, jež v oblasti řešení bezpečnostních incidentů v síti CESNET2 připravujeme. Bezpečnostní politiky by měly být nasazeny do praxe v průběhu roku 2006.

12.1.2   IDS a Audit systém

V oblasti IDS systému v roce 2005 pokračoval vývoj programů pro analýzu dat získaných ze serveru LaBrea v dejvické síti CESNETu. Tento stroj zaznamenává a brzdí útoky směřující do dosud nealokovaného adresového prostoru CESNETu. Data o zaznamenaných útocích se zpracovávají dvakrát denně (pouze v pracovní dny) a poté se automaticky rozešlou upozornění správcům těch sítí CESNET2, z nichž útoky pocházely. Užitečnost této služby lze posoudit např. podle toho, že za posledních 5 měsíců roku 2004 byly zaznamenány útoky z 590 strojů, za prvních 5 měsíců roku 2005 z 202 strojů a za posledního 6,5 měsíce (1. 6.-13. 12. 2005) z 204 strojů připojených k síti CESNET2 - navzdory stále rostoucímu počtu bezpečnostních incidentů v celosvětovém Internetu a navzdory tomu, že frekvence rozesílání upozornění se od konce října zdvojnásobila. Na vývoji a rozšíření systému pro automatickou detekci nekalých síťových aktivit budeme pokračovat i následujících měsících.

Dále jsme se soustředili na vývoj systému pro bezpečnostní audit strojů CESNETu a zabezpečeného poštovního rozhraní k serveru NESSUS. Zabezpečené poštovní rozhraní je v dejvické síti CESNETu ve zkušebním provozu, takže umožňuje libovolnému jejímu uživateli jednoduše detekovat potenciální problémy v zabezpečení počítače bez nutnosti instalovat klienta nebo server NESSUSu. Uživatelé si jeho prostřednictvím mohou požádat o audit svého stroje a tím si otestovat jeho zabezpečení. Pokročilí uživatelé mohou samozřejmě i nadále využívat grafického nebo řádkového klienta instalovaného na některém svém počítači. Předpokládáme další vývoj systému podle potřeb uživatelů a nabytých zkušeností.

předchozí
obsah 		následující
další weby:fond rozvojemetacentrumCzechLightpřenosyvideoservereduroameduID.cz