Strategie sdružení CESNET v oblasti bezpečnosti

Strategie sdružení CESNET v oblasti bezpečnosti

CESNET, z. s. p. o.

Služby e-infrastruktury CESNET

CESNET, http://www.cesnet.cz/ ●

Provozuje síť národního výzkumu a vzdělávání CESNET2

●

Založen v roce 1996

●

Připojeno 27 členů (české VŠ, AV ČR) a cca 280 dalších organizací

●

Hlavní cíle:

●

●

–

výzkum a vývoj informačních a komunikačních technologií

–

budování a rozvoj einfrastruktury CESNET určené pro výzkum a vzdělávání

–

podpora a šíření vzdělanosti, kultury a poznání

K einfrastruktuře CESNET se mohou připojit instituce, které se zabývají –

vědou, výzkumem, vývojem včetně uplatnění jejich výsledků v praxi

–

experimentálním vývojem nebo inovacemi v průmyslu i jiných oborech

–

šířením vzdělanosti, kultury a prosperity

–

vybrané sítě státní správy

2011 – 2015 –

Projekt Velká infrastruktura CESNET

Rok informatiky, 10. 6. 2015, Dačice

Einfrastruktura CESNET


Síť CESNET2

CESNET a CESNET2 ●

●

Konektivita –

GÉANT, 30Gb/s sdílené, 4x10Gb/s pro výzkum

–

spoj do globálního internetu linkou do USA od Telia , 6Gb/s

–

individuální spoje do SANET, ACONET a PIONEER, po 10Gb/s

–

spoj do experimentální sítě GLIF, 10Gb/s

–

4×10 Gb/s do NIX.CZ, 10 Gb/s do AMSIX

Špičkové parametry síťové infrastruktury –

vysoké přenosové rychlosti

–

endtoend služby

–

vysoká míra spolehlivosti

●

Člen sdružení CZ.NIC, NIX.CZ a projektu Fenix

●

Cca 400tis uživatelů


Správa sítě CESNET2 1. Transparentní

2. Žádné omezování provozu (dokud se neobjeví problém)

3. Připojeným sítím nabízíme služby a nástroje pro vlastní monitoring a “seberegulaci”


Správa sítě CESNET2 ●

●

Na páteři pracujeme s velkými objemy dat –

jsme schopni určit, co je anomálie ohrožující infrastrukturu

–

nejsme schopni určit, jestli tok XY může být ohrožující pro koncovou síť

Pro určení anomálnosti provozu je důležitý nejen objem, ale i charakteristika datových přenosů –

●

●

např. tok 5tis flow za vteřinu – u DNS ok, u PC problém

Rozhodujeme se na základě vyhodnocení konkrétní situace –

na páteři zasahujeme, když je ohrožen chod infrastruktury

–

vše ostatní je na žádost uživatelů (připojených sítí)

Máme povinnost a oprávnění zasáhnout při ohrožení infrastruktury –

nemůžeme a nechceme svévolně zasahovat do provozu koncové sítě


CESNET2

- HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..

Monitoring CESNET2 ●

Plošný, souvislý, na bázi toků

●

HW akcelerované síťové sondy na perimetru sítě

●

–

bezeztrátové a detailní měření síťových dat na volitelné úrovni detailu

–

měření tunelovaného provozu, měření aplikací HTTP, DNS, SIP

–

užitečné pro ruční analýzu, v případě problému možné vyčlenit provoz

–

statistiky, zdroj dat a informací pro další výzkum

FTAS, G3 –

sběr informací o provozu z páteřních prvů CESNET2 a připojených sítí

–

50 primárních zdrojů – z páteře (20), z koncových sítí (30)

–

aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 62 dní


Monitoring CESNET2 ●

Sledujeme –

perimetr sítě, vstup, výstup

–

provoz „od nás ven“

–

podvrhávání zdrojových adres

–

provoz vybraných prvků infrastruktury ●

distribuované infrastruktury, např. Datová Úložiště, Gridy

●

klíčové služby (DSN, AAI)

–

skenování portů, synflood útoky

–

útoky hrubou silou na ssh, SIP, DNS tunely

–

DNS amplifikace

–

anomální datové přenosy, paketové rychlosti

–

... „ondemand“ ...


Využití monitorovací infrastruktury konkrétní informace o provozu Bezpečnostní týmy

informace o uskutečněném provozu

Dohledová pracoviště

odhalení podvržení adres

Výzkumné týmy

automatická detekce anomálií verifikace a analýza bezpečnostních incidentů vzorky dat, ladění sítě obrana

Manažery Ředitele IT Správce

systematické sledování provozu sítě (instituce) náhled na provoz sítě zdraví, vytížení architektura statistiky provozu


Bezpečnost: služby ●

Síťové sondy na perimetru sítě CESNET2

●

Systémy FTAS a G3 (plošný monitoring)

●

Systémy pro sdílení informací

●

Konzultace a pomoc při návrhu sítě a obrany

●

Forenzní laboratoř

●

Asistence při problému

●

Pracoviště stálé služby, NOC

●

●

–

dohled nad provozem sítě CESNET2

–

režim 24/7/365

Vzdělávání, osvěta, (ondemand) školení

} }

STaaS (Security Tools as a Service)

₊420 2 2435 2994 [email protected]

Datové úložiště, AAI, Eduroam, Antispamová GW (pračka el. pošty), Grid (náročné výpočty), virtualizační platforma ... VIP služby ... individuální služby a péče.


●

http://flab.cesnet.cz/

●

Založena 2011

●

Podpůrné pracoviště pro CESNETCERTS

●

–

analýza incidentů a hrozeb

–

zvládání incidentů

Služby –

analýza vektoru útoku, analýza aktivity uživatele

–

odborná analýza technologie

–

penetrační testy

–

zátěžové testy (odolnost proti DoS)


Asistence připojeným sítím Připojená síť má podezření, že něco není v pořádku Připojená síť je zdrojem problému (útoku) Připojená síť je cílem útoku (např. typu záplava) Objeví se plošný útok na uživatele (phishing nesoucí malware) Objeví se zranitelnost (HB, ShellShock)

Konzultace, zhodnocení situace Adhoc analýza provozu Dlouhodobé systematické sledování podezřelého provozu Filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina Otestovat zařízení v síti, identifikovat nakažené stroje v síti Zabránit komunikaci nakažených strojů (v koncové síti) Rok informatiky, 10. 6. 2015, Dačice

Strategie v oblasti bezpečnosti I. Udržet einfrastrukturu CESNET v běhu a zabezpečenou II. Zvyšovat v oblasti bezpečnosti schopnosti připojených institucí III. Ochrana a vzdělávání uživatelů


Děkuji za pozornost. Andrea Kropáčová, [email protected]


Kontakty ●

●

●

●

http://www.cesnet.cz/ [email protected] – komunikace o službách poskytovaných sdružením CESNET [email protected] – obecný komunikační kanál [email protected] – kontakt na Pracoviště stálé služby (dohledové centrum) pro hlášení a řešení provozních problémů


Strategie sdružení CESNET v oblasti bezpečnosti

Recommend Documents