Linux E X P R E S

Facebook

Seminář Bezpečný provoz sítí a služeb od sdružení CESNET

cesnet_logo.png

Seminář, který pořádalo sdružení CESNET dne 4. 2. 2014 v Národní technické knihovně, byl určen správcům sítí, služeb a členům bezpečnostních týmů, kteří se zabývají bezpečnostními aspekty provozu sítí a služeb, řešením bezpečnostních incidentů a jejich předcházení. Zúčastnilo se ho přes 200 lidí z akademické půdy, státní správy i komerční sféry.


Sdružení CESNET, akademická síť CESNET2 a první CSIRT

Sdružení CESNET bylo založeno v roce 1996 vysokými školami a Akademií věd ČR. Zabývá se výzkumem a vývojem informačních a komunikačních technologií, buduje a rozvíjí národní e-infrastrukturu CESNET určenou pro vědu a výzkum. Pojmem e-infrastruktura bývá označována komplexní sada informatických nástrojů použitelných pro řešení problémů z celé řady oborů.

Použitelnost jejích služeb se neomezuje na přírodní vědy, jako je matematika, fyzika, chemie či informatika, ale zahrnuje i vědy humanitní a umění. S pokračující digitalizací dalších a dalších materiálů a rostoucím významem komunikačních technologií lze v současnosti jen stěží najít obor, kterému by neměla co nabídnout.

1.jpg

V rámci těchto aktivit sdružení také vyvíjí otevřený fotonický systém CzechLight. Díky svým výzkumným aktivitám a dosaženým výsledkům reprezentuje Českou republiku v důležitých mezinárodních projektech, zejména v budování panevropské sítě GÉANT či gridových projektech (EGI.eu) a podílí se aktivně na jejich realizaci.

CESNET se soustředí na to, aby síť CESNET2 byla spravována v souladu s vysokými bezpečnostními nároky (aneb "dobrý hospodář"), a proto vyvíjí a provozuje řadu bezpečnostních nástrojů a služeb a klade velký důraz na problematiku bezpečnostních incidentů, jejich předcházení, odhalování a řešení.

Provozuje první oficiálně konstituovaný CSIRT tým v ČR, který byl na světovou infrastrukturu napojen v lednu 2004. Pořádá konference a semináře pro odbornou veřejnost. Jedním ze seminářů byl Bezpečný provoz sítí a služeb, který se uskutečnil v úterý 4. února 2014 od 10 hodin Ballingově sále Národní technické knihovny v Praze 6, Technická 6.

Digitální stopa a sociální sítě

Úvodní přednáška s názvem “Já anonym aneb Svoboda na síti” od Pavla Káchy měla ukázat, jak je těžké po sobě na internetu nezanechat digitální stopu. Důvodem je samotné fungování služeb, které pro zpracování požadavků potřebují údaje o příjemci a odesílateli, což narušuje anonymitu uživatelů. IP adresa, i když je uživatel za NATem, umožní určit přinejmenším organizaci.

Prohlížeče si ukládají informace různými způsoby, a proto nestačí smazat cookies a domnívat se, že se pro server budeme tvářit jako neznámý uživatel. Server, který používá i jiné technologie než cookies, nás bez problémů rozpozná a vypíše nám hlášení „Vítej zpět uživateli X“.

Dnes se často uvádí, že jsou sociální sítě nebezpečné, ale již se příliš neuvádí konkrétní příklady. Zde byl zmíněn experiment Robin Sage. Jednalo se o fiktivní profil 25leté bezpečností analytičky, který vytvořil bezpečnostní specialista Thomas Ryan. Pomocí něho byl schopen za dva měsíce (prosinec 2009 až leden 2010) přes sociální sítě (Facebook, LinkedIn, Twitter) nashromáždit skoro 300 přátel složených z bezpečnostních specialistů, vojenského perzonálu, zaměstnanců výzvědných služeb a dodavatelů vojenské techniky.

Díky těmto kontaktům dokázal Ryan získat velké množství e-mailových adres, bankovních účtů a pozice některých vojenských jednotek, které byly v utajení. Své výsledky později prezentoval na konferenci „Black Hat“ v Las Vegas pod názvem „Getting in bed with Robin Sage“. Zde zdůraznil ohrožení národní bezpečnosti v případě, že by teroristi použili stejnou taktiku.

2.jpg

Obrana sítě, VLAN, sledování provozu

Následovala přednáška „Obrana sítě – základní principy“ od Michala Kostěnce, jež obsahovala doporučení (best practices) pro správce sítě. Kupříkladu by se síť měla rozdělovat na menší podsítě se společnými vlastnostmi a podobnými nároky na bezpečnost. Toho lze lehce docílit pomocí VLAN a dále je možné využít doplňující technologie, jako je VRF-lite (Virtual Routing and Forwarding), umožňující nastavit na routeru oddělené routovací tabulky pro podsítě (každá síť má svou).

VLAN bychom měli používat v každé již trochu větší síti, VRF-lite se hodí pro kritičtější sítě, kde například probíhají bankovní transakce, VOIP přenos apod. Výčet doporučených postupů pokračoval přes filtrování známých portů na hraničních routerech, výhodami centrálního logování, analýzou síťového provozu (honeypoty), monitoring služeb a zařízení atd.

Další v pořadí byla prezentace „Sledování provozu sítě a služeb (+ systémy FTAS a G3)“ Tomáše Košňara. FTAS a G3 jsou systémy, které vyvíjí sám CESNET a pro uživatele se jeví jako služba, která spočívá ve zprostředkování informací o přeneseném IP provozu (IPv4, IPv6). Primárním zdrojem těchto informací jsou provozní informace o IP tocích (tzv. NetFlow) exportované směrovači nebo specializovanými sondami (např. FlowMon vyvinutý sdružením CESNET).

Tyto provozní informace jsou průběžně zpracovávány systémem FTAS. Informace o provozu obsahují údaje vyňaté z hlaviček protokolů TCP/IP (IP adresy, čísla protokolů, portů, objemy paketů, apod.) a rozšiřující informace vytvořené systémem FTAS (např. administrativní členění VI CESNET).

Systém FTAS je vybaven komplexním aparátem pro vstupní zpracování, klasifikaci, filtraci, ukládání provozních záznamů i jejich následné statistické zpracování. Vyhledávací a vizualizační nástroje uživatelského rozhraní systému umožňují realizovat téměř libovolně složité vyhledávání v uložených datech bez jakékoli předchozí přípravy.

3.jpg

Síťařské desatero a DNS

Po obědě navázal Michal Kostěnec na svou dopolední přednášku o best practices pro správce sítě, tentokrát s názvem “Obrana sítě – síťařské desatero”. Představen zde byl uRPF (Unicast Reverse Path Forwarding) pro kontrolu správnosti zdrojových adres, RTBH směrování pro efektivní blokování zdrojových/cílových IP adres/rozsahu, využití anycastu pro zvýšení dostupnosti DNS služeb atd. Pro zpestření zde byl ukázán záznam z SSH honeypotu Kippo, kde se útočník snažil získat kontrolu nad strojem stáhnutím a aplikováním vlastních exploitů.

Předposlední výstup se zaobíral provozováním jedné z klíčových služeb internetu, a to DNS. Ondřej Caletka shrnul fungování, vhodné architektury celého DNS, využití anycastu a dále se věnoval softwaru, který můžeme použít pro provozování rekurzivních nebo autoritativních serverů. Závěrem byly připomenuty útoky zneužívající DNS pro odepření služby rekurzivního serveru nebo k zesilujícím útokům odrazem od DNS serverů.

Co je nového v legislativě?

Přednáškový blok uzavřel Jan Kolouch z Policejní akademie ČR aktualitami z oblasti legislativy, zákona o kyberbezpečnosti a ochraně citlivých dat. Vysvětlil například, jaké subjekty spadají pod definici ISP a jaké jsou jejich povinnosti. ISP má například povinnost informovat uživatele o napadení své sítě – toto však málokdy činí.

Pokud jsme v pozici zákazníka a nejsme informováni, můžeme žádat náhradu vzniklé škody. Provider dále nemá povinnost analyzovat data a hledat nelegální materiál, nicméně musí uchovávat provozní a lokalizační údaje 6 měsíců, a to odděleně. Po skončení následoval prostor na diskusi.

Mimo program semináře zde také zazněla stručná informace o projektu Bezpečná VLAN, kterou den předem avizovala sdružení NIX.CZ (české peeringové centrum) a CZ.NIC , a návrhu zákona o kybernetické bezpečnosti. Více informací o Bezpečné VLAN lze nalézt na webu NIX.CZ a o návrhu zákona o kybernetické bezpečnosti na webu Národního bezpečnostního úřadu.

4.jpg

Závěr

O seminář byl velký zájem, což bylo vidět na počtu účastníků, který se přehoupl přes 200. Z toho můžeme usoudit, že se seminář tématem trefil do černého a ukázal, že otázky týkající se kybernetické bezpečnosti, ať už technického či právního charakteru, představují zajímavé a aktuální téma pro řadu uživatelů a institucí.

Autor pracuje jako specialista datových úložišť v CESNET, z.s.p.o.

Diskuze (0) Nahoru