12 CESNET CSIRT
Nedílnou součástí preventivní a aktivní ochrany počítačů a počítačových sítí je důsledné a efektivní řešení bezpečnostních incidentů, včetně odstraňování jejich příčin a následků.
Problematiku bezpečnostních incidentů řeší obecně tzv. CSIRT týmy - Computer Security Incident Response Team (případně CERT - Computer Emergecy Response Team). Existence alespoň jednoho oficiálního CSIRT týmu je žádoucí v každé provozované síti, obzvláště pak v těch velkých (tranzitní, regionální, metropolitní apod.). CSIRT dané sítě obecně představuje záchytný bod, na který je možné se obrátit se zjištěným bezpečnostním problémem.
Ve světě existují stovky CSIRT/CERT týmů a drtivá většina z nich vznikla a funguje v úzké spolupráci s nadnárodními organizacemi TERENA (Trans European Research and Education Networking Association) a FIRST (Forum for Incident Response and Security Teams). V České Republice v současné době existuje jediný oficiální CSIRT tým. Byl ustanoven a je provozován sdružením CESNET. Tento tým (CESNET-CERTS) operuje nad sítí národního výzkumu CESNET2.
12.1 Aktivity CESNET-CERTS
CESNET-CERTS tým byl vytvořen na přelomu let 2003 a 2004 a jeho členy jsou zaměstnanci sdružení CESNET. Hlavní činnosti týmu jsou:
- příjem hlášení bezpečnostních incidentů vzniklých v síti CESNET2 a jejich řešení,
- provoz a rozvoj IDS (Intrusion Detection System),
- tvorba a realizace bezpečnostní strategie v síti CESNET2,
- komunikace a spolupráce se zahraničními bezpečnostními týmy v rámci aktivity TF-CSIRT, kterou zaštiťuje organizace TERENA.
Jádrem naší práce je příjem hlášení bezpečnostních incidentů a koordinace jejich řešení. V případě vzniku bezpečnostního incidentu je dobré, aby se o jeho existenci dozvěděl příslušný správce co nejrychleji. Proto jsme v uplynulých letech věnovali velkou péči tomu, aby každá síť připojená do CESNET2 měla zřízenu kontaktní abuse adresu pro hlášení bezpečnostních incidentů a tato adresa byla zveřejněna v databázi RIPE. Díky tomu je možné posílat hlášení zjištěných bezpečnostních incidentů rovnou do koncové sítě. Přesto je velké množství hlášení odesíláno na adresu abuse@cesnet.cz, která je hlavní kontaktní adresou pro celou síť CESNET2 (tedy AS2852). Proč je tomu tak? Předpokládá se, že adresy nadřazeného správce jsou spolehlivější než adresy koncových uživatelů. Pokud je koncová síť ovládána profesionálními hackery, stížnosti tam pravděpodobně nikdo nevyřídí. Dále je hlášení bezpečnostního incidentu odesíláno na hlavní abuse adresu tehdy, jedná-li se o závažný incident, nebo když správa koncové sítě na hlášení nereaguje. Odeslání stížnosti správcům autonomního systému je považováno za účinnější.
Adresu abuse@cesnet.cz přijímá tým CESNET-CERTS. V letošním roce CESNET-CERTS přijal a zpracoval cca 1700 hlášení bezpečnostních incidentů, z nichž jen cca dvě desítky se týkaly jeho přímé zodpovědnosti. Ostatní hlášení byla přeposlána se žádostí o řešení do koncových sítí připojených k CESNET2.
Hlášení bezpečnostních incidentů se ke koncovým správcům musí dostat co nejrychleji, aby následky byly co možná nejmenší. To je ovšem velice náročné na čas a soustředění, proto bylo jedním z našich cílů v letošním roce přesunout část rutinní analýzy přijatých hlášení na pracovníky Pracoviště Stálé Služby (aneb CESNET Monitoring Centra). Protože PSS je non-stop dohledová služba nad sítí CESNET2, hlášení bezpečnostních incidentů se do koncových sítí dostanou mnohem rychleji. Pro tyto účely jsme pro příjem a správu hlášení bezpečnostních incidentů nasadili ticketovací systém OTRS (Open source Ticket Request System), který je na rozdíl od sdílené poštovní schránky (již jsme v rámci CESNET-CERTS používali dříve) odolný proti chybám, intuitivní pro ovládání a v neposlední řadě autentizovaný a autorizovaný. Do OTRS jsme doplnili řadu funkcí, z nichž nejpodstatnější je modul pro analýzu přijatého hlášení bezpečnostního incidentu a jeho složení do nového hlášení, které je odesláno do koncové sítě. Výsledkem je de facto nová kompletní zpráva včetně vyplněné kontaktní adresy.
Více si o OTRS můžete přečíst v technické zprávě OTRS: Issue Management System Meets Workflow of Security Team.
12.2 Vývoj bezpečnostní strategie pro síť CESNET2
Na možnost narušení bezpečnosti sítě a počítačů musí být jejich správci a uživatelé připraveni a mít k dispozici funkční struktury, efektivní postupy, pravidla a technické prostředky vedoucí k co nejrychlejšímu odstranění problémů při minimalizaci škod.
Proto jsme se v oblasti vývoje bezpečnostní strategie pro síť CESNET2 v tomto roce zaměřili na vytvoření formálních pravidel a postupů pro řešení bezpečnostních incidentů ve formě dvou dokumentů - Incident Response Policy a Incident Handling Policy. Tyto dva dokumenty jsme spolu s doprovodným materiálem dali k posouzení zástupcům členů sdružení CESNET. V současné době čekáme na připomínky a náměty k navrženým politikám.
12.3 IDS
V oblasti systému IDS jsme v tomto roce pokračovali ve vývoji programů pro analýzu dat získaných ze serveru LaBrea v dejvické síti CESNETu. Tento stroj zaznamenává a brzdí útoky směřující do dosud nealokovaného adresového prostoru CESNETu. Data o zaznamenaných útocích se zpracovávají dvakrát denně (pouze v pracovní dny) a poté se automaticky rozešlou upozornění správcům těch sítí CESNET2, z nichž útoky pocházely. Za rok 2006 dosud zaznamenal 720 tisíc pokusů o průnik z 320 IP adres v síti CESNET2 a rozeslal výstražné zprávy jejich 269 správcům. (V roce 2005 byly zaznamenány útoky z cca 410 strojů). IDS systém je popsán v technické zprávě CESNETu číslo 5/2006 CESNET Intrusion Detection System. Jeho kód je k dispozici on-line.
předchozí
|
 obsah |
následující
|