Projekty a služby sdružení CESNET v oblasti bezpečnosti

29.07. 2015

Projekty a služby sdružení CESNET v oblasti bezpečnosti Andrea Kropáčová Jiří Bořík CESNET, z. s. p. o.

http://www.cesnet.cz/ ●

Provozuje síť národního výzkumu a vzdělávání CESNET2

●

Založen v roce 1996

●

Připojeno 27 členů (české VŠ, AV ČR) a cca 280 dalších organizací

●

K einfrastruktuře CESNET se mohou připojit instituce, které se zabývají

●

●

–

vědou, výzkumem, vývojem včetně uplatnění jejich výsledků v praxi

–

experimentálním vývojem nebo inovacemi v průmyslu i jiných oborech

–

šířením vzdělanosti, kultury a prosperity

–

vybrané sítě veřejné správy

Hlavní cíle: –

výzkum a vývoj informačních a komunikačních technologií

–

budování a rozvoj einfrastruktury CESNET určené pro výzkum a vzdělávání

–

podpora a šíření vzdělanosti, kultury a poznání

2011 – 2015 –

Projekt Velká infrastruktura CESNET

Internet v Telči, 29. 7. 2015

Einfrastruktura CESNET


Síť CESNET2

CESNET a CESNET2 ●

Externí propojení – Sdílená IP ● ●

●

–

30 Gbps GÉANT 91 Gbps IX a partneři – 40 Gbps NIX.CZ – 10 Gbps ACONET (VIX) – 10 Gbps SANET (SIX) – 10 Gbps PIONIER – 10 Gbps AMSIX – 10 Gbps Google – 1 Gbps TWAREN 6 Gbps Tier 1 (Telia)

E2E pro výzkum ● ● ●

4x10 Gbps GÉANT Nx10 CBF ACONET, SANET, PIONIER 10 Gbps GLIF


CESNET a CESNET2 ●

Externí propojení – Sdílená IP ● ●

●

–

30 Gbps GÉANT 91 Gbps IX a partneři – 40 Gbps NIX.CZ – 10 Gbps ACONET (VIX) – 10 Gbps SANET (SIX) – 10 Gbps PIONIER – 10 Gbps AMSIX – 10 Gbps Google – 1 Gbps TWAREN 6 Gbps Tier 1 (Telia)

E2E pro výzkum ● ● ●

4x10 Gbps GÉANT Nx10 CBF ACONET, SANET, PIONIER 10 Gbps GLIF

●

Člen sdružení CZ.NIC, NIX.CZ, projektu Fenix

●

Cca 400tis uživatelů


Správa sítě CESNET2 1. Transparentní

2. Žádné omezování legitimního provozu (dokud se neobjeví problém)

3. Připojeným sítím nabízíme služby a nástroje pro vlastní monitoring, obranu a “seberegulaci”


Správa sítě CESNET2 ●

●

Na páteři pracujeme s velkými objemy dat –

jsme schopni určit, co je anomálie ohrožující infrastrukturu

–

nejsme schopni určit, jestli tok XY může být ohrožující pro koncovou síť

Pro určení anomálnosti provozu je důležitý nejen objem, ale i charakteristika datových přenosů –

●

●

např. tok 5tis flow za vteřinu – u DNS ok, u PC problém

Rozhodujeme se na základě vyhodnocení konkrétní situace –

na páteři zasahujeme, když je ohrožen chod infrastruktury

–

vše ostatní je na žádost uživatelů (připojených sítí)

Máme povinnost a oprávnění zasáhnout při ohrožení infrastruktury –

nemůžeme a nechceme svévolně zasahovat do provozu koncové sítě


CESNET2

- HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..

Monitoring CESNET2 ●

Plošný, souvislý, na bázi toků

●

HW akcelerované síťové sondy na perimetru sítě

●

–

bezeztrátové a detailní měření síťových dat na volitelné úrovni detailu

–

měření tunelovaného provozu, měření aplikací HTTP, DNS, SIP

–

užitečné pro ruční analýzu, v případě problému možné vyčlenit provoz

–

statistiky, zdroj dat a informací pro další výzkum

FTAS, G3 –

sběr informací o provozu z páteřních prvů CESNET2 a připojených sítí

–

50 primárních zdrojů – z páteře (20), z koncových sítí (30)

–

aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 60 ~ 90 dní


Monitoring CESNET2 ●

Sledujeme –

perimetr sítě, vstup, výstup

–

provoz „od nás ven“

–

podvrhávání zdrojových adres

–

provoz vybraných prvků infrastruktury ●

distribuované infrastruktury, např. Datová Úložiště, Gridy

●

klíčové služby (DSN, AAI)

–

skenování portů

–

synflood útoky

–

útoky hrubou silou na ssh, SIP, DNS tunely

–

DNS amplifikace

–

anomální datové přenosy, paketové rychlosti

–

... „ondemand“ ...


Využití monitorovací infrastruktury konkrétní informace o provozu Bezpečnostní týmy

informace o uskutečněném provozu

Dohledová pracoviště

odhalení podvržení adres

Výzkumné týmy

automatická detekce anomálií verifikace a analýza bezpečnostních incidentů vzorky dat, ladění sítě obrana sítě, služeb a uživatelů

Správce Manažer Ředitel IT

systematické sledování provozu sítě (instituce) náhled na provoz sítě zdraví, vytížení sítě architektura sítě a její optimalizace a rozvoj statistiky provozu


Bezpečnost: služby ●

Síťové sondy na perimetru sítě CESNET2

●

Systémy FTAS a G3 (plošný monitoring)

●

Systémy pro sdílení informací

●

Forenzní laboratoř

●

Konzultace a pomoc při návrhu sítě a obrany

●

Asistence při problému

●

Pracoviště stálé služby, NOC

●

●

–

dohled nad provozem sítě CESNET2

–

režim 24/7/365

Vzdělávání, osvěta, (ondemand) školení

} }

STaaS (Security Tools as a Service)

₊420 2 2435 2994 [email protected]

Datové úložiště, AAI, Eduroam, Antispamová GW (pračka el. pošty), Grid (náročné výpočty), virtualizační platforma ... VIP služby ... individuální služby a péče.


●

http://flab.cesnet.cz/

●

Založena 2011

●

Podpůrné pracoviště pro CESNETCERTS

●

–

analýza incidentů a hrozeb

–

zvládání incidentů

Služby –

analýza vektoru útoku, analýza aktivity uživatele

–

odborná analýza technologie

–

penetrační testy sítě a služeb

–

zátěžové testy (odolnost proti DoS) sítě a služeb


Asistence připojeným sítím Připojená síť má podezření, že něco není v pořádku Připojená síť je zdrojem problému (útoku) Připojená síť je cílem útoku (např. typu záplava) Objeví se plošný útok na uživatele (phishing nesoucí malware) Objeví se zranitelnost (HB, ShellShock)

Konzultace, zhodnocení situace Adhoc analýza síťového provozu Dlouhodobé systematické sledování podezřelého provozu Otestování zařízení v síti, identifikace nakažených zařízení Filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina Znemožnění komunikace nakažených strojů (v koncové síti) Internet v Telči, 29. 7. 2015

Federativní služby CESNET Jiří Bořík, [email protected]


Princip federace služeb ●

●

●

●

Motivace: služby pro –

vlastní uživatele (identity management, HR systém)

–

externisty (odlišné možnosti)

Hostovská konta –

správa kont a hesel (počty, řídký přístup)

–

ověřování totožnosti (vzdálený přístup, cizí subjekty)

–

životní cyklus identity (ukončení vztahu)

Federativní model a role ve federaci –

poskytovatel identit (garantuje uživatele)

–

poskytovatel služeb (garantuje službu)

–

operátor federace (garantuje pravidla a integrační podporu)

Vzájemná důvěra


●

●

●

●

●

Education roaming –

bezpečný přístup k síti pro R&E

–

hlavně v prostorech členských organizací

Historie –

vznik 2002, Holadsko, SURFNet, TERENA

–

v současnosti většina Evropy, část světa (nejde o plošné pokrytí)

Princip reciprocity –

organizace poskytuje konektivitu i hostům

–

organizace ověřuje své uživatele

Technické provedení –

hierarchická struktura RADIUS serverů

–

autentizace je vždy prováděna v domovské organizaci uživatele

Pokrytí (mapky)


eduroam v ČR


eduroam ve světě


eduID.cz Česká akademická federace identit ●

poskytuje jednotné prostředí pro přístup k síťovým (hlavně webovým aplikacím)

●

výhody

●

–

uživatel používá pouze jedno heslo pro přístup k více aplikacím

–

správci aplikací nepotřebují autentizační data uživatelů

–

autentizace uživatele probíhá vždy u domovské organizace

–

bezpečný způsob výměny informací o uživatelích

technologie založena na projektu Shibboleth (implementace SAML protokolu)


eduID.cz služby ●

●

●

Členové (poskytovatelé identit) –

vysoké školy a univerzity

–

ústavy AV

–

knihovny

–

střední a vyšší odborné školy

Dostupné služby –

CESNET služby einfrastruktury (úložiště, výpočty, videokonference, podpora projektových týmů)

–

knihovní služby

–

elektronické informační zdroje

Vazba do mezinárodních federací (eduGAIN)


Zvídavé otázky ●

●

Proč dvojí ověření/dvě federace –

historické i technické důvody

–

rozdílné úrovně ověření ●

moje zařízení

●

moje osoba

Proč edu* –

v počátcích jen pro R&E

–

rozvoj služeb a posun k dalším subjektům

–

politiky federací reagují na potřeby členů

–

rozšíření eduroam x govroam


Federovaná střední škola Předpoklady: ●

●

●

společné IT řešení zřizovatele ➢

Radius

➢

Shibboleth

➢

podpora AAI systémů škol

lokální IdM systém ➢

vazba na školní agendy (bakaláři, školní login, škola online…)

➢

HR systém zřizovatele

existující konektivita a wifi prostředí


Federovaná střední škola 2 Dostupné služby: ●

●

eduroam ●

v mateřské instituci

●

na cestách (nádraží, veřejné prostory)

●

v partnerských organizacích (univerzity)

eduID.cz ●

služby CESNET pro širší komunitu

●

elektronické informační zdroje, knihovny

●

přístup do administrativních aplikací zřizovatele, ministerstva…

●

ověření do aplikaci partnerů (univerzity, středoškolské soutěže, ...)


CESNET pro Vás :) ●

Připojení do einfrastruktury

●

Přístup ke špičkovým službám (nejen) v oblasti bezpečnosti

●

Soulad se Zákonem o kybernetické bezpečnosti (ZKB)

●

Individuální přístup


Děkujeme za pozornost. Andrea Kropáčová, [email protected] Jiří Bořík, [email protected]


Kontakty ●

http://www.cesnet.cz/

●

http://eduroam.cz

●

http://eduid.cz

●

●

●

[email protected] – komunikace o službách poskytovaných sdružením CESNET [email protected] – obecný komunikační kanál [email protected] – kontakt na Pracoviště stálé služby (dohledové centrum) pro hlášení a řešení provozních problémů


Projekty a služby sdružení CESNET v oblasti bezpečnosti

Recommend Documents