CESNET. Andrea Kropáčová, CESNET, z. s. p. o. Služby e-infrastruktury CESNET

CESNET

Andrea Kropáčová, [email protected] CESNET, z. s. p. o.

Služby e-infrastruktury CESNET

https://www.cesnet.cz/ ●

Provozuje síť národního výzkumu a vzdělávání CESNET2

●

Připojeno 27 členů (české VŠ, Akademie věd ČR) a cca 280 dalších organizací

●

K e-infrastruktuře CESNET se mohou připojit instituce, které se zabývají

●

–

vědou, výzkumem, vývojem včetně uplatnění jejich výsledků v praxi

–

experimentálním vývojem nebo inovacemi v průmyslu i jiných oborech

–

šířením vzdělanosti, kultury a prosperity

–

vybrané sítě veřejné správy

Hlavní cíle: –

výzkum a vývoj informačních a komunikačních technologií

–

budování a rozvoj e-infrastruktury CESNET určené pro výzkum a vzdělávání

–

podpora a šíření vzdělanosti, kultury a poznání

●

Člen CZ.NIC, NIX.CZ, Géant, Internet2, Glif, Elixír ...

●

2011 – 2015: Projekt Velká infrastruktura CESNET

●

2016 – 2020: pokračování projektu Velká infrastruktura CESNET

CESNET, 21. 6. 2016, Zlín

Einfrastruktura CESNET


Společná komunikační infrastruktura ●

IP/MPLS páteřní infrastruktura

●

Primární IP síť – – –

100 Gbps jádro Uzly Nx10 Gbps, 40100 Gbps IPv4, IPv6, ucast, mcast


EInfrastruktura CESNET ●

Externí propojení – Sdílená IP ● ●

●

–

E2E pro výzkum ● ● ●

●

30 Gbps GÉANT 91 Gbps IX a partneři – 40 Gbps NIX.CZ – 10 Gbps ACONET (VIX) – 10 Gbps SANET (SIX) – 10 Gbps PIONIER – 10 Gbps AMSIX – 10 Gbps Google – 1 Gbps TWAREN 6 Gbps Tier 1 (Telia) 4x10 Gbps GÉANT Nx10 CBF ACONET, SANET, PIONIER 10 Gbps GLIF

Cca 400tis uživatelů


Služby einfrastruktury CESNET ●

●

IP konektivita – připojení k einfrastruktuře Služby vyhrazených okruhů a sítí –

dedikované infrastruktury a propoje podle potřeb

●

LIR, přidělování IPv4 a IPv6, DNS, relay

●

Bezpečnostní služby – sledování provozu sítě, FLAB, CESNETCERTS ...

●

MetaCentrum –

●

Datová úložiště – dlouhodobé ukládání primárně vědeckých dat –

●

využití sdružených výpočetních a datových zdrojů pro řešení velmi náročných úloh

zálohy, archivace, sdílení dat ...

Podpora spolupráce –

web/videokonference, IP telefonie, streaming, videoarchiv, s. obrazové přenosy, vizualizace

●

Správa identit PKI & AAI, ssobní a serverové certifikáty,

●

●

Virtuální servery

●

Konzultace, školení, osvěta ...


Česká republika Zákon o kybernetické bezpečnosti Projekt Fenix CESNET

ZKB ●

●

●

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (ZKB) –

tvorba od prosince 2011, NBÚ

–

platný od srpna 2014

–

účinný od 1. ledna 2015

Prováděcí předpisy k ZKB (17. prosince 2014) –

Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)

–

Vyhláška, kterou se stanoví významné informační systémy a jejich určující kritéria

–

Novela nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury

Dokumenty – www.nbu.cz, www.govcert.cz


Účel ZKB ●

●

●

Zajištění bezpečného fungování informační společnosti České republiky, tj. zajištění bezpečné realizace základního práva na informační sebeurčení prostřednictvím informačních systémů, služeb a sítí elektronických komunikací. Úprava nezasahuje do obsahového fungování informační společnosti, ale pouze si klade za cíl zabezpečit proti úmyslným nebo nahodilým kybernetickým bezpečnostním incidentům informační kanály, jimiž člověk realizuje své právo na informační sebeurčení a jimiž stát vykonává svá nedistributivní informační práva.

Navrhovaná právní úprava nezakládá civilní ani trestní odpovědnost pachatelů kybernetických útoků, ale vytváří systém bezpečnostních opatření, která mají výskytu kybernetických bezpečnostních incidentů předcházet, resp. která mají zajistit, že případný kybernetický bezpečností incident neohrozí celkové fungování informačních a komunikačních systémů nebo fungování kriticky důležitých společenských informačních systémů.


Cíle ZKB ●

●

●

Stanovit minimální požadavky na standardní zabezpečení kritické informační infrastruktury a významných informačních systémů Zajistit: Vládnímu CERT v reálném čase přehled o kybernetické bezpečnostní situaci v kritické informační infrastruktuře a ve významných informačních systémech Zajistit: Správcům kritické informační infrastruktury a významných informačních systémů: –

●

nepřetržitý kontakt s vládním CERT umožňující kvalitnější identifikaci kybernetických bezpečnostních rizik s původem mimo příslušný systém, službu nebo síť, efektivnější analýzu kybernetických bezpečnostních událostí a účinnější reakci na kybernetické bezpečnostní incidenty

Zajistit: Ostatním subjektům: –

povinnost oznamovat kontaktní údaje pro případ vyhlášení stavu kybernetického nebezpečí

–

spolupráce těchto subjektů se soukromoprávním národním CERT

–

možnost využívat výhod vzájemné výměny informací o analýze kybernetických bezpečnostních událostí, o řešení kybernetických bezpečnostních incidentů, jakož i získávat metodickou podporu a pomoc odpovídající odborné úrovně


Povinné osoby § 3 ZKB ●

Orgány a osoby, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti: a) poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací, pokud není orgánem nebo osobou podle písmene b), b) orgán nebo osoba zajišťující významnou síť, pokud nejsou správcem komunikačního systému podle písmene d), c) správce informačního systému kritické informační infrastruktury, d) správce komunikačního systému kritické informační infrastruktury a e) správce významného informačního systému.


Povinné osoby § 3 ZKB ●

Orgány a osoby, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti: a) poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací, pokud není orgánem nebo osobou podle písmene b), b) orgán nebo osoba zajišťující významnou síť, pokud nejsou správcem komunikačního systému podle písmene d), c) správce informačního systému kritické informační infrastruktury, d) správce komunikačního systému kritické informační infrastruktury a e) správce významného informačního systému.

●

Pojem významná síť (dle § 2 ZKB) je definován tak, aby zahrnoval síť elektronických komunikací zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře.


Hlášení incidentů ZKB (§8) (1) Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací 1). (2) Kybernetickým bezpečnostním incidentem je kybernetická bezpečnostní událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací 1). (3) Povinné osoby uvedené v § 3 písm. b) až e) jsou povinny detekovat kybernetické bezpečnostní události v jejich významné síti, informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury nebo významném informačním systému. CESNET, 21. 6. 2016, Zlín

Hlášení incidentů vyhláška ZKB (§31) ●

Pro potřeby zvládání kybernetických bezpečnostních incidentů se podle následků a negativních projevů kybernetické bezpečnostní incidenty dělí do následujících kategorií

a) Kategorie III – velmi závažný kybernetický bezpečnostní incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo informačních aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod. b) Kategorie II – závažný kybernetický bezpečnostní incident, při kterém je narušena bezpečnost poskytovaných služeb nebo informačních aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření kybernetického incidentu včetně minimalizace vzniklých škod.

c) Kategorie I – méně závažný kybernetický bezpečnostní incident, při kterém dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo informačních aktiv. Jeho řešení vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod. CESNET, 21. 6. 2016, Zlín

§ 3 ZKB ● Základní povinnosti a)

Povinnosti – stav kybernetického nebezpečí

provádět reaktivní opatření vydaná NBÚ za stavu kybernetického nebezpečí nebo za nouzového stavu (oznámí kontaktní údaje podle § 16 nejpozději do 30 (Ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky, ve znění ústavního zákona č. dnů ode dne nabytí účinnosti tohoto zákona) 300/2000 Sb.) Možnost uplatnění rozhodnutí nebo opatření obecné povahy podle § 13 Kontrola ze strany NBÚ, jak jsou tato opatření prováděna.

hlásit kontaktní údaje národnímu CERT

Základní povinnosti b)

Povinnosti – stav kybernetického nebezpečí

hlásit kontaktní údaje národnímu CERT Hlásit kontaktní údaje národnímu CERT, detekovat (oznámí kontaktní údaje podle § 16 nejpozději do kybernetické bezpečnostní události, hlásit 30 dnů ode dne nabytí účinnosti tohoto zákona) kybernetické bezpečnostní incidenty národnímu CERT, provádět reaktivní opatření vydaná NBÚ detekovat kybernetické bezpečnostní události hlásit kybernetické bezpečnostní incidenty národnímu CERT (tuto povinnost začnou plnit nejpozději do 1 roku ode dne nabytí účinnosti ZKB – tj. 1.1.2016) CESNET, 21. 6. 2016, Zlín

BO – organizační a) systém řízení bezpečnosti informací, b) řízení rizik, c) bezpečnostní politika, d) organizační bezpečnost, e) stanovení bezpečnostních požadavků pro dodavatele, f) řízení aktiv, g) bezpečnost lidských zdrojů, h) řízení provozu a komunikací kritické informační infrastruktury nebo významného informačního systému, i) řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému, j) akvizice, vývoj a údržba kritické informační infrastruktury a významných informačních systémů, k) zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů, l) řízení kontinuity činností a m) kontrola a audit kritické informační infrastruktury a významných informačních systémů. CESNET, 21. 6. 2016, Zlín

BO – technická a) fyzická bezpečnost, b) nástroj pro ochranu integrity komunikačních sítí, c) nástroj pro ověřování identity uživatelů, d) nástroj pro řízení přístupových oprávnění, e) nástroj pro ochranu před škodlivým kódem, f) nástroj pro zaznamenávání činnosti kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů, g) nástroj pro detekci kybernetických bezpečnostních událostí, h) nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí, i) aplikační bezpečnost, j) kryptografické prostředky, k) nástroj pro zajišťování úrovně dostupnosti informací a l) bezpečnost průmyslových a řídících systémů. CESNET, 21. 6. 2016, Zlín

Fenix ●

Projekt NIX.CZ, fe.nix.cz

●

Odpověď na (D)DoS útoky z 3/2013

●

Klub vzájemně „důvěryhodných“

●

Původní název „Bezpečná VLAN“

●

CZ uživatelé se potřebují dostat na CZ zdroje –

●

Možnost fungování v ostrovním režimu –

●

home banking, média, email ...

řešení poslední možnosti

Vysoká kritéria pro vstup


Fenix ●

Organizační podmínky –

Více než 6 měsíců členem NIX.CZ

–

Aktivní účast na WG NIX.CZ

–

Doporučení od 2 členů, žádné veto

–

Převedení pravidel až na koncového uživatele ●

–

24x7 technický kontakt ●

–

spam, attacks

žádné IVR

CSIRT team ●


zalistovaný u úřadu Trusted Introducer

Fenix ●

Technické podmínky –

BCP38/SAC004 – granularita /24 (/48)

–

RTBH využívající RS

–

IPv6, DNSSEC – na důležitých doménách

–

Plná redundance připojení do NIX.CZ

–

Monitoring sítě (MRTG, NetFlow, ...)

–

Control plane policy RFC6192

–

DNS, NTP, SNMP amplification protection

–

Reakční čas na bezpečnostní incident <30min

–

BGP – TCP MD5


CERT/CSIRT týmy v ČR ●

CSIRT.CZ, Národní CSIRT ČR – – –

●

Založen v roce 2007 Provozován sdružením CZ.NIC https://www.csirt.cz/

GovCERT.CZ, Vládní CERT ČR – – – –

Založen v roce 2011 Provozován NBÚ https://www.govcert.cz/ Sítě státní správy, samosprávy a kritické infrastruktury ČR


●

2CCSIRT

Listed (since 15 Sep 2014)

●

ACTIVE24CSIRT

Listed (since 09 Feb 2012)

●

ALEFCSIRT

Listed (since 29 Apr 2015)

●

CASABLANCA.CZCSIRT

Listed (since 08 Mar 2014)

●

CDTCERT

Listed (since 16 Jul 2014)

●

CESNETCERTS

Accredited (since 27 Jan 2008)

●

Coolhousing CSIRT

Listed (since 17 Sep 2014)

●

CSCSIRT


●

CSIRT Merit


●

CSIRTMU

Certification Candidate (since 26 Nov 2015)

●

CSIRTVUT

Listed (since 20 May 2014)

●

CSIRT.CZ

Accredited (since 13 Oct 2011)

●

CSOBGroupCSIRT

Listed (since 29 Oct 2014)

●

CZ.NICCSIRT

Accredited (since 26 Aug 2010)

●

DIALCERT

Listed (since 16 Dec 2013)

●

FORPSICSIRT


●

GOVCERT.CZ

Accredited (since 21 Aug 2014)

●

ISPA CSIRT

Listed (since 13 Aug 2015)

●

KAORACSIRT


●

O2.cz CERT

Listed (since 01 Jan 2014)

●

SEBET


●

SEZNAM.CZCSIRT


●

SOCA

Listed (since 04 May 2016)

●

WEB4UCSIRT


(24)

Spolupráce v ČR ●

CESNET –

●

CZ.NIC, provozovatel národní domény .cz –

●

Pracovní skupina CESNET CSIRT, IPv6, VP Pracovní skupina CSIRT.CZ

NIX.CZ, české peeringové centrum –

Projekt Fenix

●

NBÚ, NCKB (Národní centrum kybernetické bezpečnosti)

●

NCBI, Národní centrum bezpečnějšího internetu

●

AFCEA, ISACA, EUNIS ...

●

Česká telekomunikační unie

●

Pracovní skupina ECRIME –

●

Projekt Kraje Vysočina

...


Strategie správy sítě CESNET2 v souvislosti s bezpečností ●

Transparentní přístup

●

Žádné zásahy/omezování legitimního provozu

●

●

Nabídka služeb a nástrojů pro vlastní dohled a seberegulaci pro připojené organizace V případě problému se rozhodujeme na základě vyhodnocení konkrétní situace

●

V případě ohrožení stability infrastruktury musíme zasáhnout

●

V případě žádosti nastavujeme pro koncovou síť regulaci na páteři

●

Připravené a otestované mechanismy pro zásah


Strategie správy einfrastruktury CESNET v souvislosti s bezpečností ●

●

●

●

Gramotní a vysoce erudovaní správci Expertní týmy a pracoviště (Pracoviště Stálé Služby, Network Operation Centre, bezp. tým CESNETCERTS, Forenzní laboratoř) Kontinuální odborný, výzkumný a technologický rozvoj dle vývoje situace v oblasti bezpečnosti, služeb a potřeb CESNET2 Komplexní portfolio nástrojů a služeb pro monitoring, detekci anomálií, analýzu dat, mitigaci, sdílení

●

Data ve vysoké kvalitě pro online i offline analýzu provozu a hrozeb

●

Soulad se Zákonem o kybernetické bezpečnosti


CESNET2

- HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..

Sledování provozu Co sledujeme:

Informační využití:

●

perimetr sítě, vstup, výstup

●

informace o uskutečněném provozu

●

IP provoz v páteři

●

automatická detekce anomálií

●

provoz „od nás ven“

●

onthefly detekce útoků

●

podvrhávání zdrojových adres

●

odhalení podvržení adres

●

verifikace, analýza bezpečnostních incidentů

●

vzorky dat, ladění sítě

●

provoz vybraných prvků infrastruktury (distribuované infrastruktury, např. Datová Úložiště, Gridy)

●

klíčové služby (DSN, AAI)

●

obrana sítě, služeb a uživatelů

●

skenování portů, synflood útoky

●

systematické sledování provozu instituce

●

útoky hrubou silou na ssh, SIP, DNS tunely

●

náhled na provoz sítě

●

DNS amplifikace, NTP, SNMP amplifikace

●

zdraví, vytížení sítě

●

anomální datové přenosy, paketové rychlosti

●

architektura sítě, její optimalizace a rozvoj

●

... „ondemand“ ...

●

statistiky provozu


Bezpečnost: služby ●

Síťové sondy na perimetru sítě CESNET2

●

Systémy FTAS a G3 (plošný monitoring)

●

Systémy pro sdílení informací

●

SIEM systém

●

Bezpečnostní tým CESNETCERTS

●

Forenzní laboratoř

●

Antispam Gateway

●

Konzultace a pomoc při návrhu sítě a obrany

●

Asistence při problému

●

Vzdělávání, osvěta, (ondemand) školení

●

Pracoviště stálé služby, NOC –

dohled nad provozem sítě CESNET2

–

režim 24/7/365


}

}

STaaS (Security Tools as a Service)

₊420 2 2435 2994 [email protected]

●

https://flab.cesnet.cz/

●

Založena v roce 2011...

●

... jako podpůrné pracoviště pro bezpečnostní tým CESNETCERTS

●

–

analýza incidentů a hrozeb

–

zvládání incidentů

Dnes nabízí komplex služeb –

analýza bezpečnostního incidentu

–

penetrační testy sítě a služeb

–

zátěžové testy (odolnost proti DoS) sítě a služeb

–

odborná analýza technologie, konzultace, školení


Antispam Gateway ●

Služba zajišťuje –

nepřijetí (odmítnutí) nevyžádané pošty ●

–

doručení ohodnocených zpráv na koncový poštovní server ●

–

zprávy v případě nedostupnosti primárního příjemce podrží 5 dní, dle domluvy déle

Parametry – – – –

●

rozhodnutí spam/ham probíhá na koncovém serveru

plní rovněž funkci záložního poštovního serveru (relay) ●

●

antivirovou a antispamovou analýzu zpráv

AG je monitorována Pracovištěm Stálé Služby v režimu 24/7 systematická kontrola provozu, uchovávání provozních informací (logování) možnost individuálních nastavení pro konkrétní doménu správce domény (organizace) má přístup logům

Výhody –

Více domén > více zkušeností > větší účinnost Váš email provoz je „v bezpečí“

–

Odpadají náklady na údržbu vlastní antispam ochrany

–


Asistence připojeným sítím Připojená síť má podezření, že něco není v pořádku Připojená síť je zdrojem problému (útoku) Připojená síť je cílem útoku (např. typu záplava) Objeví se plošný útok na uživatele (phishing nesoucí malware) Objeví se zranitelnost (HB, ShellShock)

Konzultace, zhodnocení situace Adhoc analýza síťového provozu Dlouhodobé systematické sledování podezřelého provozu Otestování zařízení v síti, identifikace nakažených zařízení Filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina Znemožnění komunikace nakažených strojů (v koncové síti) CESNET, 21. 6. 2016, Zlín

Osvěta ●

●

●

Semináře –

velký seminář každý rok začátkem února

–

!SecurityFest!

Školení (tématická) –

správa a zabezpečení DNS

–

eduid.cz

–

systém Perun (systém pro správu uživatelů a zdrojů)

–

systém FTAS (ondemand)

–

IPv6

Školení (semináře) pro uživatele –

studenti

–

zaměstnancitechnici i netechnici


Gramotné používání výpočetní techniky jako nejlepší prevence

Digitální stopa

Současný vývoj bezpečnosti v oblasti IT směřuje stále více k uživatelům, kteří tak při své práci musí každý den čelit různým. Přednáška se zabývá základními bezpečnostními riziky, které uživatelům při práci s výpočetní technikou a službami dostupnými prostřednictvím internetu hrozí, popisuje nejčastější chyby, kterých se dopouštějí a také neznalosti, ze kterých chyby pramení. Jsou popsány základní principy péče o výpočetní prostředek, principy ochrany identity, soukromí a dat, vlastností základních aplikací typu e‑mail, prohlížeč apod. Stručně je probrána také oblast informační (digitální) stopy.

Při používání počítačů a internetových online služeb za sebou každý den zanecháváme velmi silnou tzv. digitální stopu. Ta je složena z informací, které umožňují vysledovat činnost uživatele a získat o něm velké množství zajímavých informací – např. kdy se do sítě připojil, kdy používal jakou službu, kdy a komu napsal email, kdy přistupoval na konkrétní www stránku. Co hůře ale také informace o tom, co dělal včera, co plánuje dělat zítra, kde je, kam jde atd. Některým digitálním stopám se vyvarovat nelze, ale za většinu z nich si můžeme sami svou činností v kombinaci s neznalostí. Přednáška demonstruje, kde všude po sobě tyto digitální stopy zanecháváme a proč a k čemu je možné informace z této digitální stopy využít.

Aktuální kybernetické hrozby

IT a legislativa

V rámci prezentace jsou představeny a popsány aktuální kybernetické hrozby a útoky. Jedná se zejména o phishingové, ransomwarové a malwarové útoky, které se začaly objevovat v roce 2014, a které cílí na koncové uživatele. Posluchači jsou dále seznámeni s občansko a trestně právní odpovědností za jednání v kyberprostoru. Samostatná pozornost je věnována i problematice EULA, autorským právům a problematice sociálních sítí. Součástí prezentace jsou základní doporučení jak se chovat v prostředí Internetu, aby ne uživatel nestal obětí útoku nebo se nedopustil porušení legislativy.

Přednáška představí vybrané pasáže z legislativy týkajících se prostředí Internetu, počítačových sítí a služeb. Je vysvětleno, jak na některé činy, kterých se jako uživatelé vědomě či nevědomě dopouštíme, pamatuje legislativa ČR a co by nám jako uživatelům mohlo hrozit, když spácháme např. bezpečnostní incident, nebo se staneme nedobrovolnými účastníky kybernetického útoku.


Děkuji za pozornost. Andrea Kropáčová, [email protected]


Kontakty ●

http://www.cesnet.cz/

●

http://eduroam.cz

●

http://eduid.cz

●

●

●

[email protected] – komunikace o službách poskytovaných sdružením CESNET [email protected] – obecný komunikační kanál [email protected] – kontakt na Pracoviště stálé služby (dohledové centrum) pro hlášení a řešení provozních problémů


CESNET. Andrea Kropáčová, CESNET, z. s. p. o. Služby e-infrastruktury CESNET

Recommend Documents