10   CESNET CSIRT

Základem preventivní a aktivní ochrany počítačů a počítačových sítí je důsledné a efektivní řešení bezpečnostních incidentů včetně odstraňování jejich příčin a následků.

Problematiku bezpečnostních incidentů řeší obecně tzv. CSIRT týmy - Computer Security Incident Response Team (případně CERT - Computer Emergecy Response Team). Existence alespoň jednoho oficiálního CSIRT týmu je žádoucí v každé provozované síti, obzvláště pak v těch velkých (tranzitní, regionální, metropolitní apod.). CSIRT dané sítě obecně představuje záchytný bod (point of trust), na který je možné se obrátit se zjištěným bezpečnostním problémem.

Ve světě existují stovky CSIRT/CERT týmů a drtivá většina z nich vznikla a funguje v úzké spolupráci s nadnárodními organizacemi TERENA (Trans European Research and Education Networking Association) a FIRST (Forum for Incident Response and Security Teams). V České Republice v současné době stále existuje jediný oficiální CSIRT tým. Byl ustanoven a je provozován sdružením CESNET, z. s. p. o. Tento tým (CESNET-CERTS) operuje v síti národního výzkumu CESNET2.

10.1   Aktivity CESNET-CERTS

Bezpečnostní tým CESNET-CERTS (který oficiálně vznikl v lednu roku 2004) byl zřízen za účelem koordinace řešení bezpečnostních otázek v síti CESNET2 a jeho hlavní úkoly jsou následující:

10.1.1   Incident Handling

Jádrem práce CSIRT týmu je příjem hlášení bezpečnostních incidentů a koordinace jejich řešení. V případě vzniku bezpečnostního incidentu je dobré, aby se o jeho existenci dozvěděl příslušný správce co nejrychleji. Pro tyto účely provozují internetoví registrátoři (RIPE, ARIN, APNIC, LACNIC, AFRINIC) databáze, které obsahují základní kontaktní údaje přidělených IP rozsahů. Jedním z povinných údajů je tzv. abuse adresa určená pro hlášení bezpečnostních incidentů, které mají původ v daném adresovém bloku. Tuto abuse adresu by měli povinně přijímat správci dané sítě. Části databází internetových registrátorů jsou veřejně dostupné a je možné v nich vyhledávat, např. pomocí služby whois.

Adresu abuse@cesnet.cz, která je hlavní adresou pro hlášení bezpečnostních incidentů vzniklých v síti CESNET2, přijímá tým CESNET-CERTS. V letošním roce jsme přijali a zpracovali cca 1500 hlášení bezpečnostních incidentů, z nichž jen cca tři desítky se týkaly naší přímé zodpovědnosti, tzn. incidentů vzniklých v pražském PoPu a na páteřní síti CESNET2. Ostatní hlášení jsme přeposlali se žádostí o řešení do koncových sítí připojených k CESNET2. Na hlavní kontaktní adresu autonomního systému jsou hlášení posílána v případě, že koncový správce nereaguje, nereaguje korektně, nebo v případě, kdy se jedná o závažný bezpečnostní incident, o kterém by měli být informováni správci AS. Jinak je samozřejmě žádoucí, aby se stížnost na bezpečnostní incident zaslala přímo zodpovědné osobě bez zbytečného zdržení.

Tato myšlenka vede přímočaře ke zprovoznění non-stop služby. Sdružení CESNET provozuje Pracoviště stálé služby (dále jen PSS), jehož úkolem je dohled na síť CESNET2 a hlavní pracovní náplní je sledování stavu sítě (pomocí monitorovacích nástrojů typu Nagios, HP OpenView apod.). Při zjištění výpadku nebo nefunkčnosti musí PSS zajistit koordinaci řešení vzniklého problému. Spolu s PSS dohlíží na síť CESNET2 skupina nazývaná NOC (Network Operating Centre), kterou tvoří správci páteřní sítě CESNET2. Pracoviště PSS pracuje v režimu 24 hodin denně, 7 dní v týdnu; pracovníci skupiny NOC používají režim směn "na telefonu". V případě vzniklého problému pracovník PSS kontaktuje sloužícího pracovníka NOC a je mu plně nápomocen při řešení problému.

Skupiny CESNET-CERTS, PSS a NOC spolu v oblasti řešení bezpečnostních incidentů a výpadků sítě CESNET2 úzce spolupracují. Na začátku roku 2007 se nám podařilo zaškolit pracovníky PSS do provádění základního incident handlingu, což má ten efekt, že většina incidentů se do koncových sítí k rukám zodpovědných správců dostane rychleji, než kdyby zpracování incidentů prováděli pouze členové týmu CESNET-CERTS. Zapojení pracovníků PSS do základní fáze incident handlingu nás motivovalo k nasazení a následně k vylepšení tiketovacího systému OTRS (Open source Ticket Request System), který umožňuje zaznamenat, automatizovat a sledovat celý průběh řešeného incidentu. Vývoj tohoto systému pokračuje vlastně neustále, implementujeme v něm změny tak, aby práce s tímto nástrojem byla co nejjednodušší a systém co nejvíce věcí zvládl sám.

Více si o správě bezpečnostních incidentů pomocí OTRS můžete přečíst v technické zprávě [Kách07].

Moduly, které jsme ve standardním distribučním OTRS změnili nebo doplnili, jsme publikovali na našem FTP serveru.

10.1.2   Aktivity TF-CSIRT a FIRST

Činnost každého oficiálního CSIRT týmu zahrnuje spolupráci a budování vztahů s ostatními světovými bezpečnostními týmy. Vhodnou platformu k tomu, jak už bylo zmíněno dříve, poskytují organizace TERENA a FIRST. Každý oficiální CSIRT tým se může stát členem sdružení FIRST. Členství je ovšem podmíněno tím, že vstupující CSIRT tým musí projít procesem, při kterém je ověřována jeho "totožnost, důvěryhodnost a funkčnost". To v praxi znamená, že tým musí dobře zdokumentovat vlastní činnost, musí o sobě zveřejnit základní informace a garantovat obecně akceptovatelné modely chování a odezvy. Členstvím v těchto organizacích se pak týmu otevírá cesta k důležitým a užitečným informacím, které vytvářejí a aktualizují členské týmy, a k užší spolupráci s nimi.

Na evropské úrovni je obdobou získání členství v organizaci FIRST tzv. akreditační proces v rámci aktivity TF-CSIRT, kterou organizuje sdružení TERENA. Každý CSIRT tým může projít akreditačním procesem, který jej uvede do podobného klubu, jako je členství ve FIRST. Ve druhé polovině roku 2007 splnil bezpečnostní tým CESNET-CERTS podmínky pro vstup do akreditačního procesu, který by měl skončit do poloviny února roku 2008.

Výhodou členství v TF-CSIRT je (samozřejmě především pro evropské týmy) snazší dostupnost pravidelných setkání a také jejich vyšší četnost. Zatímco organizace FIRST pořádá jednu velkou pětidenní výroční konferenci, setkání TF-CSIRT se konají třikrát ročně. Tato setkání vždy hostí jeden z evropských spolupracujících týmů.

V květnu v roce 2007 hostilo sdružení CESNET 21st TF-CSIRT Meeting. Setkání se konalo v Modré posluchárně Univerzity Karlovy, zúčastnilo se jej cca 80 zástupců evropských bezpečnostních týmů a mělo velký úspěch, a to jak po stránce programové, tak po stránce organizační.

10.2   IDS (Intrusion Detection System)

V oblasti systému IDS jsme v tomto roce pokračovali ve vývoj programů pro analýzu dat získaných ze serveru LaBrea v dejvické síti CESNETu. Tento stroj zaznamenává a brzdí útoky směřující do dosud nealokovaného adresového prostoru CESNETu. Od poloviny roku 2007 teď kontroluje i novou alokaci CESNETu 78.128.128.0/17; přitom se stále využívá jediný server IDS. Za rok 2007 dosud zaznamenal 204 105 pokusů o průnik z 222 strojů v síti CESNET2 a rozeslal výstražné zprávy jejich 190 správcům ve 167 dávkách. IDS systém je popsán v technické zprávě [Vach06]. Jeho kód je k dispozici na našem FTP serveru. Na začátku roku 2007 se naším IDS systémem inspirovali správci na ČVUT a nasadili jej ve své síti.

předchozí
obsah 		následující
fond rozvojemetacentrumliberouterpřenosyvideoservereduroamdalší servery