WEBnet. Abstrakt Cílem projektu bylo zkvalitnění a zrychlení procesu řešení bezpečnostních incidentů v síti

Z´avˇereˇcn´a zpr´ava projektu 369/2010 Zkvalitnˇen´ı procesu ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u v s´ıti WEBnet Radoslav Bod´o, Michal Kostˇenec Z´apadoˇcesk´a univerzita v Plzni Centrum informatizace a v´ ypoˇcetn´ı techniky email: {bodik,kostenec}@civ.zcu.cz 12. prosince 2011

Abstrakt C´ılem projektu bylo zkvalitnˇen´ı a zrychlen´ı procesu ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u v s´ıti WEBnet, kter´ a je souˇca ´st´ı s´ıtˇe CESNET. Pˇri dneˇsn´ıch rozmˇerech Internetu je udrˇzen´ı s´ıtˇe bez jedin´eho napaden´eho poˇc´ıtaˇce nemoˇzn´e. Proces ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u zahrnuje v prvn´ıch f´ az´ıch akce potˇrebn´e k lokalizaci zdroje incidentu, jeho doˇcasn´eho odpojen´ı od s´ıtˇe a notifikaci spr´ avce syst´emu ˇci jeho uˇzivatele. Vzhledem k povaze s´ıtˇe WEBnet byl k informov´ an´ı uˇzivatele nutn´ y pˇredchoz´ı kontakt pracovn´ık˚ u CIV s lok´ aln´ım spr´ avcem. V t´eto dobˇe byly stanice odpojeny od s´ıtˇe a uˇzivatel tak byl bez pˇr´ım´e moˇznosti z´ısk´ an´ı informac´ı a to do doby, neˇz jej kontaktuje lok´ aln´ı spr´ avce. V r´ amci tohoto projektu jsme vytvoˇrili syst´em, kter´ y zablokuje pˇripojen´ı uˇzivatele tak, aby mu byly odepˇreny sluˇzby s´ıtˇe WEBnet a pomoc´ı un´ aˇsen´ı HTTP pˇrenos˚ u byl vytvoˇren informaˇcn´ı kan´ al, kter´ y doprav´ı potˇrebn´e informace uˇzivateli pracuj´ıc´ımu u stanice a zpˇr´ıstupn´ı mu n´ astroje vhodn´e pro ˇreˇsen´ı incidentu.

1

Obsah ´ 1 Uvod a c´ıle projektu

4

2 Zp˚ usob ˇ reˇ sen´ı 2.1 Anal´ yza dostupn´ ych prostˇredk˚ u . . . . . . . . . . . . . . 2.1.1 Manipulace s DHCP . . . . . . . . . . . . . . . . 2.1.2 Manipulace s DNS . . . . . . . . . . . . . . . . . 2.1.3 Manipulace s provozem na hranici s´ıtˇe . . . . . . 2.1.4 Manipulace s provozem na p´ ateˇrn´ıch uzlech v s´ıti 2.1.5 802.1x . . . . . . . . . . . . . . . . . . . . . . . . 2.1.6 Dedikovan´e VLAN a orchestrace access port˚ u . . 2.1.7 V´ ysledky anal´ yzy . . . . . . . . . . . . . . . . . . 2.2 Implementace vybran´eho ˇreˇsen´ı . . . . . . . . . . . . . . 2.2.1 WEBnet a NetSpy . . . . . . . . . . . . . . . . . 2.2.2 WEBnet a Mysphere2 . . . . . . . . . . . . . . . 2.2.3 Mysphere2 a WEBnet . . . . . . . . . . . . . . . 2.2.4 Pozn´ amky k nasazen´ı . . . . . . . . . . . . . . . 2.2.5 Provozn´ı instalace . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

. . . . . . . . . . . . . .

5 5 5 5 6 6 7 8 9 9 10 11 13 15 15

3 Shrnut´ı v´ ysledk˚ u

15

4 Vzdˇ el´ av´ an´ı a publikace v r´ amci grantu

18

5 Dosaˇ zen´ e c´ıle

18

6 Zd˚ uvodnˇ en´ı zmˇ en v projektu

19

7 V´ ystupy a vyuˇ zitelnost

19

8 Pˇ r´ınosy projektu

19

9 Tiskov´ a zpr´ ava

19

10 V´ ykaz hospodaˇ ren´ı s prostˇ redky

20

A Pˇ r´ılohy A.1 Uk´ azka ˇcasov´ an´ı zpracov´ an´ı incident˚ u . . . . . . . . . . . . . . A.2 Mnoˇziny incident˚ u pro vyhodnocen´ı zmˇeny procesu . . . . . . . A.3 Nastaven´ı karan´etn´ıho firewallu . . . . . . . . . . . . . . . . . . A.4 Uk´ azky obrazovek pro z´ısk´ an´ı zpˇetn´e vazby od uˇzivatele . . . . A.5 support.zcu.cz :: Jak postupovat v pˇr´ıpadˇe zavirov´ an´ı poˇc´ıtaˇce A.6 Podrobn´ y v´ yvojov´ y diagram . . . . . . . . . . . . . . . . . . . . A.7 Uk´ azky administr´ atorsk´e ˇca ´sti aplikace Mysphere2 . . . . . . . A.8 Uk´ azky generovan´ ych informaˇcn´ıch email˚ u . . . . . . . . . . . .

2

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

22 22 23 24 26 28 30 33 34

Seznam obr´ azk˚ u 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

Pohled na proces ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u. . . Uk´ azka z´ onov´eho souboru bind9 – DNS sinkhole. . . . Uk´ azka pˇresmˇerov´ an´ı poˇzadavk˚ u pro vybran´e klienty. . WEBnet WCCP testbed . . . . . . . . . . . . . . . . . ˇ sen´ı pomoc´ı karant´enn´ı s´ıtˇe . . . . . . . . . . . . . . Reˇ N´ avrh karant´enn´ıho syst´emu . . . . . . . . . . . . . . Sch´ema karant´enn´ıho syst´emu . . . . . . . . . . . . . . Informaˇcn´ı str´ anka redirects/spam . . . . . . . . . . Informaˇcn´ı str´ anka redirects/p2pshare . . . . . . . . Matice vyˇzadovan´ ych reakc´ı . . . . . . . . . . . . . . . Zjednoduˇsen´ y stavov´ y diagram Mysphere2 . . . . . . . Komponentov´ y diagram aplikace Mysphere2 . . . . . . Provozn´ı instalace Mysphere2 . . . . . . . . . . . . . . Typy ˇreˇsen´ ych incident˚ u . . . . . . . . . . . . . . . . . Stavy ˇreˇsen´ ych incident˚ u ke dni 19.11.2011 . . . . . . Pˇrehled zaloˇzen´ ych incident˚ u v ˇcase . . . . . . . . . . Uk´ azka naˇcasov´ an´ı zpracov´ an´ı incident˚ u . . . . . . . . Informaˇcn´ı str´ anka responses/virus. . . . . . . . . . Informaˇcn´ı str´ anka responses/p2pshare. . . . . . . . V´ yvojov´ y diagram: Zaloˇzen´ı incidentu. . . . . . . . . . V´ yvojov´ y diagram: Informov´ an´ı uˇzivatele. . . . . . . . V´ yvojov´ y diagram: Zablokov´ an´ı uˇzivatele. . . . . . . . V´ yvojov´ y diagram: Z´ısk´ an´ı zpˇetn´e vazby. . . . . . . . V´ yvojov´ y diagram: Odblokov´ an´ı uˇzivatele. . . . . . . . V´ yvojov´ y diagram: zavˇren´ı incidentu. . . . . . . . . . . View incidents/view . . . . . . . . . . . . . . . . . . . View incidents/notice . . . . . . . . . . . . . . . . . . View incidents/index . . . . . . . . . . . . . . . . . . .

3

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

4 6 6 7 8 9 10 12 12 12 13 14 16 16 17 17 22 26 27 30 30 31 31 32 32 33 33 34

1

1

´ UVOD A C´ILE PROJEKTU

´ Uvod a c´ıle projektu

Proces ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u v s´ıti WEBnet byl vytvoˇren na z´akladˇe veˇrejn´ ych best practices1 , doporuˇcen´ı bezpeˇcnostn´ı skupiny CESNET-CERTS2 a d´ale byl optimalizov´an a formalizov´ an na z´ akladˇe grant˚ u FR CESNET 155/2005[3], 218R1/2007[5] a 230R1/2007[6]. Na obr´azku 1 je zobrazen jeden z pohled˚ u na tento bezpeˇcnostn´ı proces.

Obr´ azek 1: Pohled na proces ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u.

V s´ıti WEBnet neznaj´ı kmenov´ı zamˇestnanci provozovatele s´ıtˇe konkr´etn´ı identity uˇzivatel˚ u vˇsech uzl˚ u s´ıtˇe, jej´ı vˇetˇs´ı ˇc´ ast je vyuˇz´ıv´ana ostatn´ımi subjekty univerzity, kter´e maj´ı na spr´avu lok´ aln´ı poˇc´ıtaˇcov´e techniky vlastn´ı pracovn´ıky, kteˇr´ı obhospodaˇruj´ı tyto ˇc´asti s´ıtˇe. Pˇri ˇreˇsen´ı bezpeˇcnostn´ıho incidentu, tak bylo vˇzdy nutn´e vyhledat koncov´eho uˇzivatele prostˇrednictv´ım tohoto spr´ avce (emailem) a posl´eze informovat samotn´eho uˇzivatele. Vˇetˇsinu krok˚ u bylo potˇreba prov´ adˇet ruˇcnˇe (vyhledat spr´avce, zablokovat stroj nebo eduroam identitu, manipulovat s tickety syst´emu RT, . . . ). Nav´ıc v ˇcase vyhled´av´an´ı identity uˇzivatele byl stroj odpojen od p´ ateˇrn´ı s´ıtˇe a uˇzivatel nemˇel ˇz´ adnou moˇznost dozvˇedˇet se, proˇc bylo jeho pˇripojen´ı zablokov´ano nebo tento stav odliˇsit od pˇr´ıpadn´e poruchy na jeho zaˇr´ızen´ı nebo s´ıti. C´ılem tohoto projektu bylo zlepˇsit tento proces tak: • aby byl uˇzivatel informov´ an pˇr´ımo, nikoliv pouze prostˇrednictv´ım lok´aln´ıho spr´avce, 1 http://www.sans.org/reading 2 Krop´ aˇ cov´ a,

room/whitepapers/incident/ Vachek, K´ acha: V´ yklad pro Incident Response Policy a Incident Handling Policy s´ıtˇ e CESNET2

(AS2852)

4

2

ˇ SEN ˇ ´I ZP˚ USOB RE

• aby mˇel uˇzivatel pˇri ˇreˇsen´ı dostupn´e vhodn´e n´astroje pro z´ısk´an´ı informac´ı a n´asledn´e ˇreˇsen´ı bezpeˇcnostn´ıho incidentu, • aby bezpeˇcnostn´ı pracovn´ıci nemuseli vˇse zpracov´avat ruˇcnˇe, tud´ıˇz aby doˇslo k zautomatizov´ an´ı nˇekter´ ych akc´ı.

2

Zp˚ usob ˇ reˇ sen´ı

V r´ amci ˇreˇsen´ı tohoto projektu jsme chtˇeli nal´ezt takov´e technologick´e prostˇredky, aby byly d˚ uleˇzit´e informace o nastal´em incidentu uˇzivateli prezentov´any pˇr´ımo a v prvn´ı f´azi nebyla nutn´a spolupr´ace s lok´ aln´ım spr´ avcem (coˇz pˇrin´ aˇs´ı ˇcasov´e prodlevy). Toho jsme chtˇeli dos´ahnout vyuˇzit´ım hlavn´ıho komunikaˇcn´ıho kan´ alu souˇcasnosti – sluˇzby World Wide Web. ´ Ukolem bylo automaticky vytv´ aˇret ˇr´ızen´e s´ıt’ov´e prostˇred´ı pro vybran´e uzly tak, aby byl jejich provoz c´ılenˇe omezen (ne vˇsak odepˇren), aby bylo moˇzn´e doruˇcit uˇzivateli informaci o tom, proˇc bylo jeho pˇripojen´ı omezeno a jak´e kroky m´a podniknout pro opˇetovn´e pˇripojen´ı stanice do s´ıtˇe WEBnet. Souˇcasnˇe mu odepˇr´ıt ostatn´ı IP konektivitu tak, aby bylo zamezeno z´avadn´e aktivitˇe.

2.1

Anal´ yza dostupn´ ych prostˇ redk˚ u

Vzhledem k charakteru s´ıtˇe WEBnet existuje nˇekolik zp˚ usob˚ u, jak vytyˇcen´ ych c´ıl˚ u dos´ahnout. Hlavn´ım krit´eriem pro v´ ybˇer dan´eho zp˚ usobu byla sloˇzitost implementace v s´ıti WEBnet, zejm´ena s ohledem na v´ ykon s´ıtˇe a jej´ıch p´ ateˇrn´ıch prvk˚ u a moˇznosti obch´azen´ı pravidel karant´enn´ı s´ıtˇe. 2.1.1

Manipulace s DHCP

V s´ıti WEBnet je vyˇzadov´ ano, aby vˇsechny uzly vyuˇz´ıvaly k z´ısk´av´an´ı parametr˚ u pro pˇripojen´ı k s´ıti sluˇzbu DHCP. Izolace problematick´eho uzlu by mohla b´ yt dosaˇzena vhodn´ ymi u ´pravami konfigurace dan´e stanice (napˇr. zmˇena DNS serveru). V s´ıti vˇsak nen´ı ploˇsnˇe (na 100%) nasazen DHCP snooping, Dynamic ARP inspection a IP Source Guard. Nav´ıc pˇridˇelen´e adresy maj´ı dlouhou dobu platnosti (cca d´elku pracovn´ı doby), kterou nemus´ı klient respektovat. Napˇr´ıklad linuxov´ y dhcp klient z bal´ıku dhcp3-client (verze 3.1.1-6+lenny4) neˇz´ ad´ a o novou adresu po vypojen´ı linky. 3.7 When clients should use DHCP A client SHOULD use DHCP to reacquire or verify its IP address and network parameters whenever the local network parameters may have changed; e.g., at system boot time or after a disconnection from the local network, as the local network configuration may change without the client’s or user’s knowledge.

Zmˇena s´ıt’ov´ ych parametr˚ u by pˇri pouˇzit´ı tohoto zp˚ usobu byla pˇr´ıliˇs dlouh´a a nav´ıc nepredikovateln´ a. 2.1.2

Manipulace s DNS

V s´ıti WEBnet je doporuˇceno, aby vˇsechny uzly pouˇz´ıvaly DNS servery provozovatele s´ıtˇe. Manipulac´ı s odpovˇed’mi tˇechto sluˇzebn´ıch server˚ u problematick´ ym klient˚ um by bylo moˇzn´e dos´ahnout potˇrebn´eho efektu. V praxi by to znamenalo na DNS serverech spustit druhou instanci forwarderu/rekurzivn´ıho resolveru s konfigurac´ı z´ ony dle obr´ azku 2 a nechat j´ı selektivnˇe zpracov´avat poˇzadavky pouze pro vybran´e klienty (viz obr. 3). ˇ sen´ı by bylo vhodn´e pouze pro mal´e nebo silnˇe uzavˇren´e s´ıtˇe, kde je zaruˇceno, ˇze nejsou Reˇ pouˇz´ıv´ any jin´e neˇz schv´ alen´e DNS resolvery. V s´ıti WEBnet by to nebyl vhodn´ y zp˚ usob ˇreˇsen´ı.

5

2

ˇ SEN ˇ ´I ZP˚ USOB RE

$TTL 3600 . IN SOA pf. pf.pf.isolation.zcu.cz ( 2009020901 ; serial 10800 ; refresh 3600 ; retry 604800 ; expire 400 ; default_ttl ) IN NS pf. support.zcu.cz. IN A 147.228.... webmail.zcu.cz. IN A 147.228.... webkdc.zcu.cz. IN A 147.228.... *.zcu.cz. IN A 10.1.1.1 *.cz. IN A 10.1.1.1 *. IN A 10.1.1.1 IN MX 5 pf. 1.1.1.10.in-addr.arpa. IN PTR

pf

Obr´ azek 2: Uk´ azka z´onov´eho souboru bind9 – DNS sinkhole. iptables -t nat -A PREROUTING -s $IP -m udp -p udp --dport 53 -j REDIRECT --to-port 1053 iptables -t nat -A PREROUTING -m $MAC --mac-source $2 -p udp --dport 53 -j REDIRECT --to-port 1053

Obr´ azek 3: Uk´ azka pˇresmˇerov´an´ı poˇzadavk˚ u pro vybran´e klienty.

2.1.3

Manipulace s provozem na hranici s´ıtˇ e

V mal´ ych a stˇrednˇe velk´ ych s´ıt´ıch se ˇcasto vyuˇz´ıv´a zp˚ usob odepˇren´ı sluˇzeb internetu problematick´ ym uzl˚ um pomoc´ı hraniˇcn´ıch prvk˚ u s´ıtˇe. Tam, kde jsou hlavn´ımi branami softwarov´e routery na b´ azi operaˇcn´ıch syst´em˚ u Linux, se d´a potˇrebn´eho efektu dos´ahnout pomoc´ı manipulace s pr˚ uchoz´ım provozem pomoc´ı komponenty j´adra OS – Netfilteru. Tento zp˚ usob je vˇsak nevhodn´ y pro vysokorychlostn´ı s´ıtˇe typu WEBnet. Problematick´ ym uzl˚ um by nezabr´ anil v komunikaci uvnitˇr s´ıtˇe a potenci´aln´ımu vyuˇzit´ı nˇekter´e z proxy sluˇzeb pro komunikaci s veˇrejn´ ym internetem. 2.1.4

Manipulace s provozem na p´ ateˇ rn´ıch uzlech v s´ıti

V rozlehl´ ych vysokorychlostn´ıch s´ıt´ıch, konkr´etnˇe v jejich p´ateˇrn´ıch oblastech, je kladen d˚ uraz na rychlost zpracov´ an´ı paket˚ u. Z tohoto d˚ uvodu je nutn´e pouˇz´ıvat takov´a zaˇr´ızen´ı, kter´a vyuˇz´ıvaj´ı speci´ aln´ı hardwarov´e obvody pro rychl´e operace s pakety. Jednou z nejd˚ uleˇzitˇejˇs´ıch vlastnost´ı aktivn´ıch s´ıt’ov´ ych prvk˚ u je schopnost filtrov´an´ı komunikace pomoc´ı definovan´ ych pravidel, tzv. ACL3 . U p´ ateˇrn´ıch smˇerovaˇc˚ u, tedy zaˇr´ızen´ıch pracuj´ıc´ıch na tˇret´ı vrstvˇe ISO/OSI modelu, se vyuˇz´ıv´ a dalˇs´ıch speci´ aln´ıch modul˚ u pro manipulaci s pakety, tzv. PFC4 karet. Tyto karty umoˇzn ˇuj´ı d´ıky hardwarov´e akceleraci manipulovat s velk´ ym objemem dat bez v´ yraznˇejˇs´ıho zv´ yˇsen´ı odezvy. Zmiˇ novan´e akcelerovan´e obvody vyuˇz´ıvaj´ı napˇr. prvky Cisco ˇrady Catalyst 6500 a 7200. Jednou z moˇznost´ı p´ ateˇrn´ıch box˚ u je manipulace webov´ ym provozem d´ıky protokolu WCCP5 . Implementace tohoto protokolu umoˇzn ˇuje pˇresmˇerovat vybran´e pakety (vyhodnocen´e ACL) do transparentn´ı HTTP proxy (napˇr. Squid) a zbytek provozu bud’ omezit, nebo nechat beze zmˇeny. WCCP protokol m˚ uˇze pracovat ve dvou reˇzimech, tunelovac´ım pomoc´ı GRE6 protokolu nebo na principu pˇrepisov´ an´ı hlaviˇcek r´ amc˚ u na druh´e vrstvˇe ISO/OSI. Reˇzim pˇrepisov´an´ı L2 hlaviˇcek je moˇzn´e vyuˇz´ıt pouze v pˇr´ıpadˇe, kdy je omezovan´a VLAN zakonˇcena na stejn´em zaˇr´ızen´ı jako HTTP proxy. Manipulace provozu protokolem WCCP byla v r´amci projektu vyzkouˇsena v reˇzimu GRE a to jak v testovac´ım prostˇred´ı v zapojen´ım dle obr´azku 4, tak i na produkˇcn´ı s´ıti, ale tento zp˚ usob 3 Access

Control List Feature Card 5 Web Cache Control Protocol – http://www.cisco.com/en/US/docs/ios/11.2/feature/guide/wccp.html 6 Generic Routing Encapsulation Protocol 4 Policy

6

2

ˇ SEN ˇ ´I ZP˚ USOB RE

m´ a nˇekolik omezuj´ıc´ıch vlastnost´ı, kv˚ uli nimˇz nebylo moˇzn´e tuto techniku pro vytyˇcen´e c´ıle d´ale vyuˇz´ıvat. V testovan´e p´ ateˇrn´ı s´ıti se nach´ az´ı smˇerovaˇce ˇrady Catalyst 6500 a smˇerovaˇce Catalyst 4900M. U tˇechto aktivn´ıch prvk˚ u je v souˇcasn´e dobˇe moˇzn´e vyuˇz´ıvat protokol WCCP, avˇsak u ˇrady 4900M je moˇzn´ a konfigurace pouze v reˇzimu manipulace s L2 hlaviˇckami. Proto bylo moˇzn´e omezovat komunikaci pouze v nˇekter´ ych ˇc´ astech s´ıtˇe. Dalˇs´ı nev´ yhodou t´eto metody je ˇcast´a zmˇena konfigurace p´ ateˇrn´ıch smˇerovaˇc˚ u, konkr´etnˇe dynamick´a zmˇena definic´ı ACL. Pokud by mˇela implementace tohoto zp˚ usobu pokraˇcovat, bylo by nutn´e odzkouˇset konfiguraci jednoho c´ılov´eho cache serveru pro v´ıce WCCP zdroj˚ u a moˇznost aplikov´an´ı protokolu do vzd´ alen´ ych lokalit. Tyto moˇznosti nebyly zkoum´any, ale podle dostupn´ ych informac´ı lze tyto poˇzadavky na funkˇcnost realizovat pouˇzit´ım multicast reˇzimu implementovan´eho ve WCCP verze 2.

Obr´ azek 4: WEBnet WCCP testbed

2.1.5

802.1x

Jedn´ım z moˇzn´ ych ˇreˇsen´ı je ploˇsn´e pouˇz´ıv´an´ı pln´eho NAC7 nebo alespoˇ n ˇr´ızen´ı pˇr´ıstupu protokolem 802.1x (viz Eduroam). Pˇripojen´ı dan´eho zaˇr´ızen´ı do s´ıtˇe by bylo ˇr´ızeno na z´akladˇe identifikace subjektu/uˇzivatele a v r´ amci autorizaˇcn´ıch rozhodnut´ı by bylo moˇzn´e jej pˇripojovat do speci´aln´ı (karant´enn´ı) ˇc´ asti s´ıtˇe. Vzhledem k r˚ uznorodosti zaˇr´ızen´ı (poˇc´ıtaˇce, telefony, kop´ırky, tisk´arny, ...) pˇripojovan´ ych do s´ıtˇe WEBnet nelze nasadit tento pˇr´ıstup na vˇsechny pˇr´ıstupov´e porty. Pouˇzit´ı v takov´em reˇzimu (pouze na vybran´e porty) by pˇrineslo neakceptovateln´e mnoˇzstv´ı konfiguraˇcn´ıch zmˇen na aktivn´ıch prvc´ıch v s´ıti.

7

2

ˇ SEN ˇ ´I ZP˚ USOB RE

ˇ sen´ı pomoc´ı karant´enn´ı s´ıtˇe Obr´ azek 5: Reˇ

2.1.6

Dedikovan´ e VLAN a orchestrace access port˚ u

Dalˇs´ı moˇznost´ı je zaveden´ı speci´ aln´ı dedikovan´e pods´ıtˇe (VLAN8 ) a orchestrace aktivn´ıch prvk˚ u vhodn´ ym n´ astrojem k dynamick´emu ˇr´ızen´ı pˇr´ısluˇsnosti koncov´eho portu do pods´ıtˇe (access vlan). Jejich zakonˇcen´ım na linuxov´em routeru a filtrov´an´ım provozu je moˇzn´e kontrolovat konektivitu zaˇr´ızen´ı, kter´ a jsou do nˇej pˇripojena. Vzhledem k oˇcek´avan´emu zat´ıˇzen´ı (maxim´alnˇe des´ıtky napaden´ ych poˇc´ıtaˇc˚ u) je toto softwarov´e ˇreˇsen´ı vhodn´e i pro vysokorychlostn´ı s´ıtˇe typu WEBnet/CESNET. Pro automatizovanou konfiguraci s´ıt’ov´ ych prvk˚ u je moˇzn´e vyuˇz´ıt nˇekolik dostupn´ ych n´astroj˚ u. Packetfence V pr˚ ubˇehu projektu bylo zapojeno laboratorn´ı prostˇred´ı pro syst´em PacketFence[7] – Open Source NAC. Po konfiguraci umoˇzn ˇuje: dohled a ˇr´ızen´ı aktivn´ıch prvk˚ u vˇetˇsiny v´ yrobc˚ u s´ıt’ov´eho hardware (pˇres SNMP), podporu 802.1x, webovou samoobsluhu pro registraci uˇzivatel˚ u a zaˇr´ızen´ı, nˇekolik druh˚ u autentizaˇcn´ıch mechanism˚ u (ldap, radius, local), karant´enov´ an´ı zaˇr´ızen´ı (napˇr. ve spolupr´aci s IDS Snort) s webovou aplikac´ı pro ˇreˇsen´ı incident˚ u, • webovou a CLI administraci. • • • • •

Software je tvoˇren komponentami v PHP (management), Perlu (registrace, orchestrace). Ty se staraj´ı o generov´ an´ı konfiguraˇcn´ıch soubor˚ u pro standardn´ı linuxov´e d´emony (httpd, bind, dhcpd. . . ). Vlastn´ı instalace nen´ı trivi´ aln´ı, ale s v´ yhodou je moˇzn´e vyuˇz´ıt virtu´aln´ıho stroje, kter´ y je od v´ yrobc˚ u pˇripraven. Syst´em je vˇsak navrˇzen s pˇredpokladem, ˇze je hlavn´ım autoritativn´ım zdrojem konfigurace pro s´ıt’ov´e prvky a jeho u ´prava pro potˇreby nasazen´ı v s´ıti WEBnet by byla neprovediteln´a. O jeho nasazen´ı vˇsak d´ ale uvaˇzujeme v kolejn´ı ˇc´asti s´ıtˇe WEBnet, kde jsou poˇzadavky i moˇznosti spr´avy s´ıtˇe odliˇsn´e. NAV Podobnou funkcionalitu poskytuje i software NAV – Network Administration Visualized [8, 9]. Na rozd´ıl od pˇredchoz´ıho ˇreˇsen´ı um´ı automaticky detekovat a vyhled´avat aktivn´ı prvky v s´ıti (autodiscovery) a jeho ˇc´ asti jsou naps´any v Pythonu a Javˇe. V pr˚ ubˇehu projektu nebyl tento syst´em zkouˇsen. 7 Network 8A

Access Control virtual local area network

8

2

ˇ SEN ˇ ´I ZP˚ USOB RE

NetSpy V s´ıti WEBnet je pro potˇreby automatizace konfigurace pˇr´ıstupov´ ych prvk˚ u provozov´an vlastn´ı software NetSpy[16], kter´ y je vyv´ıjen pracovn´ıky CIV. 2.1.7

V´ ysledky anal´ yzy

Anal´ yzou byl navrˇzen n´ asleduj´ıc´ı postup: • navrˇzen´ı a implementace karant´enn´ı s´ıtˇe v s´ıti WEBnet s ohledem na jej´ı metropolitn´ı charakter, • rozˇs´ıˇren´ı sw NetSpy tak, aby podporoval konfiguraci karant´eny na vybran´ y port, • doplnˇen´ı sw NetSpy o rozhran´ı HTTP REST pro moˇznost automatick´eho ˇr´ızen´ı extern´ım procesem, • implementace vlastn´ıho n´ astroje pro spr´avu incident˚ u – – – – – – –

vyhled´ av´ an´ı informac´ı o pˇr´ıpojn´em bodu nebo identitˇe uˇzivatele s´ıtˇe, rozes´ıl´ an´ı notifikac´ı pˇres syst´em Request Tracker, ˇr´ızen´ı karant´eny v campusu (propojen´ım se syst´emem NetSpy), blokov´ an´ı identit s´ıtˇe Eduroam, automatizaci u ´kon˚ u v ostatn´ıch intern´ıch agend´ach s´ıtˇe WEBnet, webov´e rozhran´ı pro informov´an´ı uˇzivatel˚ u a pˇrij´ım´an´ı zpˇetn´e vazby, vytvoˇren´ı a implementace vhodn´e politiky omezov´an´ı provozu v karant´enn´ı s´ıti.

Obr´ azek 6: N´avrh karant´enn´ıho syst´emu

2.2

Implementace vybran´ eho ˇ reˇ sen´ı

Pro s´ıt’ typu WEBnet bylo vybr´ ano ˇreˇsen´ı navrˇzen´e v kapitole 2.1.7 – moˇznost karant´enn´ı VLAN a orchestrace port˚ u. Z pohledu s´ıt’ov´eho administr´atora nen´ı toto ˇreˇsen´ı zcela ˇcist´e“, ale lze ho ” povaˇzovat za pˇrijateln´e ˇreˇsen´ı v s´ıt´ıch, kde nen´ı moˇzn´e ploˇsnˇe implementovat protokol 802.1x. Dle obecn´ ych doporuˇcen´ı nen´ı vhodn´e pouˇz´ıt pro celou s´ıt’ pouze jednu VLAN, proto bylo tˇreba pro kaˇzdou p´ ateˇrn´ı lokalitu vytvoˇrit samostatnou karant´enn´ı VLAN, v tomto pˇr´ıpadˇe 13 nov´ ych VLAN. Tyto VLAN je tˇreba zakonˇcit na vhodn´ ych smˇerovaˇc´ıch, tzn. nastavit IP adresu, kterou 9

2

ˇ SEN ˇ ´I ZP˚ USOB RE

budou vyuˇz´ıvat blokovan´ a zaˇr´ızen´ı pˇri sv´e komunikaci jako br´anu. Dalˇs´ım krokem je povolen´ı karant´enn´ı VLAN na vˇsech spojovac´ıch (trunk) portech v konkr´etn´ıch p´ateˇrn´ıch lokalit´ach. Pˇri pouˇzit´ı vˇetˇs´ıho poˇctu karant´enn´ıch s´ıt´ı je vhodn´e pouˇz´ıt smˇerovac´ı protokol, konfigurace tedy d´ale obn´ aˇsela konfiguraci OSPF9 proces˚ u v kaˇzd´e p´ateˇrn´ı lokalitˇe. Pro fyzick´e“ oddˇelen´ı s´ıt’ov´eho provozu cel´e soustavy karant´enn´ıch s´ıt´ı byla pouˇzita technolo” gie VRF-lite10 . Protokol VRF-lite poskytuje moˇznost vytvoˇren´ı nˇekolika oddˇelen´ ych smˇerovac´ıch tabulek na jednom smˇerovaˇci. V tomto pˇr´ıpadˇe bylo VRF-lite vyuˇzito tak´e proto, aby bylo moˇzn´e pouˇz´ıt na p´ ateˇrn´ı s´ıti priv´ atn´ı rozsahy adres, kter´e by byly v bˇeˇzn´em pˇr´ıpadˇe zahozeny. Pˇri n´ asledn´e implementaci se vyskytl poˇzadavek na pˇripojen´ı vzd´alen´e lokality (Cheb) do syst´emu karant´enn´ıch VLAN. Pˇri pouˇzit´ı zvolen´eho pˇr´ıstupu, byl tento krok pomˇernˇe jednoduch´ y. Pro pˇripojen´ı byl vyuˇzit tunelovac´ı protokol GRE, kter´ y dovoluje tunelovat i smˇerovac´ı protokoly. V lokalitˇe Cheb byla vytvoˇrena dalˇs´ı karant´enn´ı VLAN, nakonfigurov´an OSPF proces a GRE tunelem jej pˇripojili“ do st´ avaj´ıc´ı soustavy. ” Kaˇzd´e karant´enn´ı pods´ıti je pˇridˇelen adresn´ı prostor pro 14 blokovan´ ych zaˇr´ızen´ı (s´ıtˇe s CIDR11 maskou /28), coˇz je dle naˇsich zkuˇsenost´ı v souˇcasn´e dobˇe dostaˇcuj´ıc´ı, protoˇze poˇcty incident˚ u se pohybuj´ı v jednotk´ ach. Aktu´ aln´ı konfigurace obsahuje 14 karant´enn´ıch VLAN zapojen´ ych dle obr´ azku 7.

Obr´ azek 7: Sch´ema karant´enn´ıho syst´emu

2.2.1

WEBnet a NetSpy

NetSpy je monitorovac´ı n´ astroj vytvoˇren´ y speci´alnˇe pro prostˇred´ı s´ıtˇe WEBnet. NetSpy periodicky stahuje obsah ARP tabulek (mac-address-table) a informace o MAC adres´ach pˇripojen´ ych na konkr´etn´ıch portech monitorovan´ ych zaˇr´ızen´ı (SNMP OID:1.3.6.1.2.1.4.22 – ipNetToMediaTable). N´ aslednˇe hled´ a v nalezen´ ych datech p´arov´e hodnoty, tj. MAC adresu a odpov´ıdaj´ıc´ı IP adresu. Nalezen´e hodnoty jsou uloˇzeny do datab´aze spolu s ˇcasov´ ym raz´ıtkem a informacemi o portu, do kter´eho je nalezen´e zaˇr´ızen´ı (MAC adresa) pˇripojeno. V nalezen´ ych datech je moˇzn´e nejen vyhled´ avat, ale je moˇzn´e i blokovat zaˇr´ızen´ı nalezen´a na koncov´ ych portech. 9 Open

Shortest Path First Routing and Forwarding 11 Classless Inter-Domain Routing 10 Virtual

10

2

ˇ SEN ˇ ´I ZP˚ USOB RE

Pro potˇreby projektu byla doprogramov´ana funkˇcnost vloˇzen´ı zaˇr´ızen´ı do karant´enn´ı VLAN. Syst´em NetSpy nejprve port vypne, pˇr´ıstupov´a VLAN je zmˇenˇena na karant´enn´ı a po uplynut´ı definovan´eho intervalu je port opˇet zapnut. P˚ uvodn´ı VLAN je uloˇzena do datab´aze pro pozdˇejˇs´ı obnoven´ı funkˇcnosti. P˚ uvodn´ı verzi syst´emu NetSpy lze ovl´adat pouze pˇres webov´e rozhran´ı, pro potˇreby automatizovan´eho blokov´ an´ı zaˇr´ızen´ı bylo tedy nutn´e vytvoˇrit jednoduch´e REST API pro zas´ıl´ an´ı poˇzadavk˚ u pˇres protokol HTTP. 2.2.2

WEBnet a Mysphere2

Kromˇe karant´enn´ıch s´ıt´ı je nezbytnou komponentou implementovan´eho ˇreˇsen´ı br´ana, kter´a je schopna omezovat a manipulovat s provozem karant´enovan´ ych zaˇr´ızen´ı. V tomto pˇr´ıpadˇe byla br´ ana vytvoˇrena serverem s OS/Linux, kter´ y byl pˇripojen do s´ıtˇe WEBnet a nakonfigurov´ an jako v´ ychoz´ı br´ ana ze vˇsech karant´en. Br´ana poskytuje zaˇr´ızen´ım v s´ıti routov´an´ı provozu smˇerem k veˇrejn´emu internetu, sluˇzbu DHCP a obsahuje catch-all http server (Apache2). Vzhledem k charakteru s´ıtˇe WEBnet (pouˇz´ıv´an´ı SSO Kerberos a WebAuth, adres´aˇrov´e sluˇzby, dom´enov´e sluˇzby OS Windows, distribuovan´ y souborov´ y syst´em AFS . . . ), nem˚ uˇze b´ yt provoz karant´enovan´ ych zaˇr´ızen´ı omezen u ´plnˇe. C´ılem implementovan´eho ˇreˇsen´ı bylo ponech´an´ı dostupnosti nˇekter´ ych sluˇzeb tak, aby mohl uˇzivatel reagovat na bezpeˇcnostn´ı incident. Zejm´ena pak, aby byl schopen: • pˇrihl´ asit se na stanici – za pouˇzit´ı sluˇzeb DNS, KDC/AD, AFS, LDAP, • pouˇz´ıt server uˇzivatelsk´e podpory support.zcu.cz – k z´ısk´an´ı dodateˇcn´ ych informac´ı, ˇ – k vyhled´an´ı kontakt˚ ˇ a zachov´an´ı pro• pouˇz´ıvat webov´ y telefonn´ı seznam ZCU u po ZCU duktivity pracovn´ıka, • pouˇz´ıvat FAI12 , ftp.zcu.cz a download.zcu.cz – k moˇznosti z´ısk´an´ı SW pro reinstalaci zaˇr´ızen´ı, • pouˇz´ıvat syst´em pro centr´ aln´ı ochranu antivirov´ ym SW, ˇ webmail.zcu.cz – ke komunikaci s bezpeˇcnostn´ı skupinou, • pouˇz´ıt webmailov´ y syst´em ZCU • pouˇz´ıt aplikaci pro ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u – ke komunikaci s bezpeˇcnostn´ı skupinou. K ˇr´ızen´ı provozu byl pouˇzit subsyst´em netfilter, komponenta linuxov´eho j´adra. Konkr´etn´ı nastaven´ı je moˇzn´e nal´ezt v pˇr´ıloze A.3 (str. 24). Pˇresmˇerov´ an´ı je provedeno na lok´ aln´ı webov´ y server, na kter´em bˇeˇz´ı aplikace, kter´a umoˇzn ˇuje uˇzivateli z´ıskat informace o bezpeˇcnostn´ım incidentu a odeslat zpˇetnou vazbu nebo poˇz´adat o dalˇs´ı pomoc ˇci informace. Uk´ azkov´e screenshoty jsou na obr´azc´ıch 8 a 9. Konkr´etn´ı informace jsou zobrazov´any na z´akladˇe IP adresy (resp. MAC adresy13 ) klienta s ohledem na typ incidentu a na to, zda se jedn´a o p˚ uvodce incidentu nebo zda poˇzadavek pˇrich´az´ı ze zaˇr´ızen´ı, kter´e se pouze nach´ az´ı v karant´enn´ı pods´ıti d´ıky tomu, ˇze pˇr´ıpojn´ y bod (access port) sd´ıl´ı s poˇc´ıtaˇcem kter´ y byl odpojen. Souˇcasn´ a implementace aplikace reflektuje zaveden´e postupy pro ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u v s´ıti WEBnet (viz obr´ azek 10). Pro typ incidentu p2pshare aplikace vyˇzaduje sjedn´an´ı osobn´ı sch˚ uzky s pracovn´ıky bezpeˇcnostn´ı skupiny, na kter´e uˇzivateli pracovn´ık vysvˇetl´ı moˇzn´e dopady jeho aktivit v souladu s doporuˇcen´ımi CESNET-CERTS (response/p2pshare). Pro ostatn´ı typy incident˚ u spam, botnet, scan . . . zobraz´ı doporuˇcen´ı o vhodn´em dalˇs´ım postupu (responses/virus). Vhodn´ y postup pro vyˇciˇstˇen´ı zaˇr´ızen´ı od virov´e n´ akazy byl v r´amci projektu vypracov´an na serveru uˇzivatelsk´e podpory14 a je k nalezen´ı v pˇr´ıloze A.5 (str. 28). Ve vˇsech pˇr´ıpadech tedy syst´em umoˇzn ˇuje uˇzivateli komunikovat s bezpeˇcnostn´ı skupinou pˇres intern´ı webov´e formul´ aˇre nebo doporuˇcuje ostatn´ı standardn´ı prostˇredky pro komunikaci. Uk´ azkov´e screenshoty jsou v pˇr´ıloze A.4 (str. 26). ˇ pro hromadn´ e instalace ZCU p˚ uvodn´ı MAC adresy se z´ aznamy z karant´ enn´ıho DHCPD 14 http://support.zcu.cz/napadeny stroj 12 syst´ em

13 p´ arov´ an´ım

11

2

ˇ SEN ˇ ´I ZP˚ USOB RE

Obr´ azek 8: Informaˇcn´ı str´anka redirects/spam

Obr´ azek 9: Informaˇcn´ı str´anka redirects/p2pshare Typ spam botnet scan p2pshare other

Vyˇzadovan´a reakce odvirov´an´ı a zpˇetn´a vazba odvirov´an´ı a zpˇetn´a vazba odvirov´an´ı a zpˇetn´a vazba pohovor spracovn´ıky WIRT kontaktovat lok´aln´ı spr´avce nebo [email protected] Obr´ azek 10: Matice vyˇzadovan´ ych reakc´ı

Interakce aplikace s uˇzivatelem je zaznamen´av´ana do syst´emov´eho protokolu a zrcadlena do ˇ syst´emu Request Tracker ZCU. Grafick´ y vzhled aplikace byl vypracov´an v souladu s manu´alem ˇ jednotn´eho vizu´ aln´ıho stylu ZCU.

12

2

2.2.3

ˇ SEN ˇ ´I ZP˚ USOB RE

Mysphere2 a WEBnet

Mysphere2 je webovou aplikac´ı, kter´ a se nestar´a pouze o komunikaci s uˇzivatelem. Jej´ım hlavn´ım u ´kolem je administrace a automatizace procesu ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u a to i v ˇc´astech s´ıtˇe, kde je nutn´e uplatnit jin´ y postup (napˇr. Eduroam – blokovat uˇzivatele dle identity na z´akladˇe accountingu v Radius serveru). Aplikace udrˇzuje intern´ı datab´ azi o zaloˇzen´ ych incidentech a umoˇzn ˇuje administr´atorovi ˇr´ıdit ˇzivotn´ı cyklus incidentu dle obr´ azku 11. Mezi hlavn´ı komponenty patˇr´ı kontrol´ery incidents, redirects, responses a eduroams. Jejich metody implementuj´ı potˇrebn´e akce.

Obr´ azek 11: Zjednoduˇsen´ y stavov´ y diagram Mysphere2 Pro implementaci byl zvolen webov´ y framework CakePHP15 , kter´ y umoˇzn ˇuje psan´ı aplikac´ı objektovˇe orientovan´ ym pˇr´ıstupem a n´avrhov´ ym vzorem MVC16 . V´ yhodami tohoto frameworku jsou: 15 http://www.cakephp.org 16 Model-View-Controler

13

2

ˇ SEN ˇ ´I ZP˚ USOB RE

Obr´ azek 12: Komponentov´ y diagram aplikace Mysphere2

• obs´ ahl´ a dokumentace, z´ asuvn´e moduly, sb´ırka zdrojov´ ych k´od˚ u, podpora komunity, • podpora MVC (by desing) a ORM (deklarativnˇe), • automatick´e generov´ an´ı k´ odu defaultn´ıch view a kontrol´er˚ u pro operace nad daty model˚ u (CRUD), • snadnost rozˇs´ıˇren´ı frameworku na vˇsech jeho u ´rovn´ıch (autorizace k metod´am kontrol´er˚ u na b´ azi skupin, napojen´ı na extern´ı autentizaci . . . ), • moˇznost implementace ACL aˇz na u ´roveˇ n datov´ ych poloˇzek modelu (vhodn´e k implementaci delegovan´e spr´ avy). Obecn´ y charakter modelovan´eho procesu a jeho prom´ıtnut´ı do implementace za pouˇzit´ı standardn´ıho frameworku pro vytvoˇren´ı aplikace umoˇzn ˇuje jeho snadnou rozˇsiˇritelnost a pˇr´ıpadn´e vyuˇzit´ı i v ostatn´ıch ˇc´ astech s´ıtˇe CESNET i pˇresto, ˇze aktu´aln´ı kontrol´ery prov´adˇej´ı akce specifick´e pro s´ıt’ WEBnet. Zdrojov´e k´ ody mohou b´ yt zpˇr´ıstupnˇeny bezpeˇcnostn´ı skupinou CESNETCERTS. V souˇcasn´e verzi umoˇzn ˇuje aplikace administr´ator˚ um zejm´ena: • • • •

vyhled´ avat identity uˇzivatel˚ u Euroamu na z´akladˇe informac´ı [ip:time] (find), spravovat jednotliv´e incidenty a jejich metadata (crud), obeslat uˇzivatele nebo lok´ aln´ı spr´avce emailem podle definovan´ ych pˇredloh (notice), (od)blokovat stroje v campusu (block/unblock) a identity v Eduroamu (block/unblock) (spoluprac´ı s extern´ımi syst´emy – NetSpy, eduroam-admin), • z´ısk´ avat potˇrebn´ a doplˇ nkov´ a data ze servisn´ıch sluˇzeb WEBnetu (LDAP, STAG-XML17 , DHCPD), • vkl´ adat z´ aznamy do servisn´ıch agend WEBnetu (RT, WHOIS18 ).

Projekt je dokumentov´ an pomoc´ı syst´emu Doxygene a podrobn´ ym v´ yvojov´ ym diagramem, viz 17 informace 18 Aplikace

o metadatech uˇ zivatel˚ u pro pracoviˇstˇ e Helpdesk CIV

14

3

´ ˚ SHRNUT´I VYSLEDK U

pˇr´ıloha A.6 (str. 30). Uk´ azky administr´atorsk´e ˇc´asti aplikace jsou v pˇr´ıloze A.7 (str. 33), uk´azky generovan´ ych notifikaˇcn´ıch email˚ u v pˇr´ıloze A.8 (str. 34) 2.2.4

Pozn´ amky k nasazen´ı

V p˚ uvodnˇe zam´ yˇslen´em nasazen´ı bylo pro karant´enn´ı s´ıt’ vybr´ano adresov´an´ı z priv´atn´ıch rozsah˚ u RFC1918, pˇri testovac´ım provozu se vˇsak uk´azalo, ˇze vzhledem k siln´emu napojen´ı mnoha stanic v s´ıti WEBnet na autentizaˇcn´ı syst´em Kerberos, nen´ı moˇzn´e toto adresov´an´ı pouˇz´ıvat (defaultnˇe se vyuˇz´ıvaj´ı l´ıstky s adresou – address tickets). Pro pilotn´ı provoz bylo provedeno pˇreadresov´an´ı vˇsech karant´enn´ıch pods´ıt´ı na veˇrejn´e IP rozsahy z voln´eho adresn´ıho prostoru s´ıtˇe WEBnet. Pˇri implementaci nebylo provedeno penetraˇcn´ı testov´an´ı implementovan´eho software a v pr˚ ubˇehu testovac´ıho provozu byly odhaleny 2 chyby v syst´emu NetSpy. NetSpy nem´ a detention pursuit, pokud je zaˇr´ızen´ı pˇrepojeno do jin´eho access portu, z´ısk´a opˇet pln´ y pˇr´ıstup do s´ıtˇe. Pˇred nasazen´ım syst´emu to byl ˇcast´ y postup, kter´ ym uˇzivatel ˇreˇsil nefunkˇcnost s´ıt’ov´e konektivity a nemˇel k dispozici ˇz´adn´e informace o tom, proˇc byl odpojen a zda se nejedn´a o chybu zaˇr´ızen´ı. Po nasazen´ı syst´emu Mysphere2 do pilotn´ıho provozu nebyl ˇz´adn´ y takov´ y pˇr´ıpad zaznamen´ an. Veˇsker´ y provoz jdouc´ı pˇres karant´enn´ı br´anu je zaznamen´av´an pro potˇreby pˇr´ıpadn´e forenzn´ı anal´ yzy incidentu. Z karant´enn´ı s´ıtˇe je moˇzn´e paˇsovat data do veˇrejn´eho internetu pomoc´ı postrann´ıho DNS kan´ alu. Anal´ yzou provozu karant´enovan´ ych stanic nebyl ˇz´adn´ y takov´ y pokus potvrzen. Dalˇs´ı anal´ yzou provozu by bylo moˇzn´e z´ıskat doplˇ nkov´ y zdroj dat pro syst´em MENTAT[10]. 2.2.5

Provozn´ı instalace

Popisovan´ y syst´em provozujeme v s´ıti WEBnet v zapojen´ı podle obr´azku 13.

3

Shrnut´ı v´ ysledk˚ u

Za dobu pilotn´ıho provozu syst´emu Mysphere2 bylo ˇreˇseno celkem 70 incident˚ u (17.5.2011 – 19.11.2011). Na obr´ azc´ıch 14, 15, 16 je zn´azornˇeno rozloˇzen´ı jejich typ˚ u, aktu´aln´ıch stav˚ u a datum˚ u vytvoˇren´ı. Pro vyhodnocen´ı m´ıry zmˇeny procesu byly ze syst´emu pro spr´avu poˇzadavk˚ u (RT) vybr´any n´ ahodn´e vzorky incident˚ u z doby pˇred a po zaveden´ı syst´emu Mysphere2. Vzorky zahrnovaly 3 incidenty z kategori´ı p2pshare, botnet, spam, scan. Sledovan´e veliˇciny byly: ˇcas do informov´an´ı uˇzivatele (TTIU), ˇcas do prvn´ı reakce uˇzivatele (TTFR), celkov´a doba do vyˇreˇsen´ı incidentu (TTR). N´ asleduj´ıc´ı tabulka ukazujje souhrnn´e ukazatele, konkr´etn´ı informace jsou k nalezen´ı v pˇr´ıloze A.2.

Bez Mysphere2 Pr˚ umˇer Medi´ an S Mysphere2 Pr˚ umˇer Medi´ an

TTIU [m]

TTFR [m]

TTR [m]

564 143

12562 2834

26126 7668

1114 392

5682 1583

10154 6013

I pˇresto, ˇze se zv´ yˇsil ˇcas do informov´an´ı uˇzivatele (TTUI) (z d˚ uvod˚ u v´ yvoje software), se po zaveden´ı syst´emu zkr´ atil ˇcas do prvn´ı reakce uˇzivatele (TTFR) a celkov´a doba do vyˇreˇsen´ı incidentu (TTR) na polovinu. Z dostupn´ ych informac´ı je patrn´e, ˇze proces ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u byl optimalizov´an a zrychlen. Pro koncov´e uˇzivatele se tak zv´ yˇsila dostupnost, vyuˇzitelnost i bezpeˇcnost s´ıt´ı WEBnet a CESNET a jejich sluˇzeb.

15

3

Obr´ azek 13: Provozn´ı instalace Mysphere2

Obr´ azek 14: Typy ˇreˇsen´ ych incident˚ u

16

´ ˚ SHRNUT´I VYSLEDK U

3

´ ˚ SHRNUT´I VYSLEDK U

Obr´ azek 15: Stavy ˇreˇsen´ ych incident˚ u ke dni 19.11.2011

Obr´ azek 16: Pˇrehled zaloˇzen´ ych incident˚ u v ˇcase

17

5

4

ˇ E ´ C´ILE DOSAZEN

Vzdˇ el´ av´ an´ı a publikace v r´ amci grantu

V r´ amci tohoto grantu ˇreˇsitel´e navˇst´ıvili konferenci IETF.org 88, kter´a se konala v dubnu 2011 a konferenci Chaos Communication Camp 2011, kter´a se konala v srpnu 2011. O poznatc´ıch z t´eto konference informovali na intern´ım semin´aˇri CIV a v emailov´e konferenci [email protected]. Z´ıskan´e znalosti byly vyuˇzity pro pˇr´ıpravu publikace a prezentace pro konferenci EurOpen.CZ (kvˇeten 2011[13]) na t´ema anal´ yza malware a prezentacemi o syst´emech IDS [14, 15] na semin´aˇri GN3 – Monitoring campusov´ ych s´ıt´ı, kter´ y se konal v ˇr´ıjnu 2011. V listopadu 2011 se ˇreˇsitel´e z´ uˇcastnili ˇskolen´ı o bezpeˇcnosti webov´ ych aplikac´ı. Z v´ ysledk˚ u projektu byla sestavena prezentace pro podzimn´ı semin´aˇr ˇreˇsitel˚ u CESNETu.

Zakoupen´ e knihy Z prostˇredk˚ u grantu bylo zakoupeno nˇekolik knih, kter´e se t´ ykaj´ı ˇreˇsen´e problematiky a jsou ˇclen˚ um sdruˇzen´ı k dispozici formou MKV19 . • Michal Zalewski: Silence on the Wire: a Field Guide to Passive Reconnaissance and Indirect ISBN: 978-1593270469 • Himanshu Dwivedi: Hacking Voip ISBN: 978-1593271633 • Michael Lucas: Cisco Routers for the Desperate ISBN: 978-1593271930 • Seitz, Justin: Gray Hat Python ISBN: 978-1593271923 • Eagle, Chris: Ida Pro Book, 2nd Edition: the unofficial guide to the world’s most popular disassembler ISBN: 978-1593272890

5

Dosaˇ zen´ e c´ıle

Hlavn´ım c´ılem pˇredkl´ adan´eho projektu bylo zlepˇsen´ı procesu ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u. V r´ amci projektu jsme provedli anal´ yzu dostupn´ ych technick´ ych prostˇredk˚ u, navrhli a implementovali vybran´e ˇreˇsen´ı. Vytvoˇrili jsme potˇrebnou s´ıt’ovou infrastrukturu tak, aby byl v u ´vodn´ı f´azi kontaktov´an uˇzivatel pˇr´ımo vhodn´ ym komunikaˇcn´ım kan´ alem a nebyla pro jeho informov´an´ı potˇrebn´a znalost o jeho konkr´etn´ı identitˇe. S´ıt’ov´e prostˇred´ı implementuje vhodn´ y zp˚ usob izolace problematick´eho uzlu v s´ıti tak, ˇze nen´ı od sluˇzeb s´ıtˇe odpojen u ´plnˇe, ale jsou mu k dispozici z´akladn´ı sluˇzby potˇrebn´e k z´ısk´an´ı uˇzivatelsk´e podpory a ostatn´ı zdroje a n´ astroje (n´avod a antivir) nezbytn´e pro vhodnou reakci na nastalou situaci. ˇ sitel´e se z´ Reˇ uˇcastnili konference IETF.org 88 a Chaos Communication Camp 2011, kter´e v´ yraznˇe pˇrispˇely ke vzdˇel´ an´ı v bezpeˇcnostn´ı oblasti vˇcetnˇe z´ısk´an´ı zaj´ımav´ ych kontakt˚ u na odˇ sitel´e d´ born´ıky v zahraniˇc´ı. Reˇ ale absolvovali ˇskolen´ı na t´ema bezpeˇcnost webov´ ych aplikac´ı. Z v´ ysledk˚ u projektu byla sestavena prezentace pro podzimn´ı semin´aˇr ˇreˇsitel˚ u CESNETu. Novˇe navrˇzen´ ym syst´emem jsme vyˇreˇsili celkem 70 bezpeˇcnostn´ıch incident˚ u a vyhodnocen´ı provozn´ıch u ´daj˚ u prok´ azalo, ˇze se proces ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u podaˇrilo zrychlit a optimalizovat. Domn´ıv´ ame se, ˇze projekt pˇrispˇel ke zv´ yˇsen´ı zabezpeˇcen´ı s´ıtˇe WEBnet resp. CESNET. Zam´ yˇslen´ a finanˇcn´ı rozvaha byla dodrˇzena. C´ıle projektu byly podle naˇseho n´azoru splnˇeny. 19 Meziknihovn´ ı

v´ yp˚ ujˇ cn´ı sluˇ zby

18

9

6

´ ZPRAVA ´ TISKOVA

Zd˚ uvodnˇ en´ı zmˇ en v projektu

V pr˚ ubˇehu projektu nebyly vyˇcerp´ any nˇekter´e pl´anovan´e prostˇredky na cestovn´e a vloˇzn´e na konference. Nebylo provedeno automatick´e napojen´ı na syst´em IDS Mysphere1, implementovan´e ˇreˇsen´ı je tak odolnˇejˇs´ı proti u ´tok˚ um typu DoS.

7

V´ ystupy a vyuˇ zitelnost

V´ ystupem z projektu je implementace karant´enn´ıch pods´ıti v s´ıti WEBnet a rozˇs´ıˇren´ı konfiguraˇcn´ıho n´ astroje NetSpy, kter´ y dok´ aˇze ˇr´ıdit pˇr´ıstupov´e porty k s´ıti. V´ ystupem je tak´e nov´ y syst´em pro ˇr´ızen´ı procesu ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u s webov´ ym rozhran´ım, uˇzivatelskou samoobsluhou a napojen´ım na servisn´ı agendy s´ıtˇe WEBnet. Dalˇs´ım v´ ystupem jsou informaˇcn´ı materi´ aly pro uˇzivatele jak se spr´avnˇe zachovat v pˇr´ıpadˇe napaden´ı syst´emu virovou n´ akazou. Obecn´ y charakter modelovan´eho procesu a jeho prom´ıtnut´ı do implementace za pouˇzit´ı standardn´ıho frameworku pro vytvoˇren´ı aplikace umoˇzn ˇuje jeho snadnou rozˇsiˇritelnost a pˇr´ıpadn´e vyuˇzit´ı i v ostatn´ıch ˇc´ astech s´ıtˇe CESNET. Zdrojov´e k´ody a informaˇcn´ı materi´aly budou zpˇr´ıstupnˇeny bezpeˇcnostn´ı skupinou CESNET-CERTS. Z v´ ysledk˚ u projektu byla sestavena prezentace pro podzimn´ı semin´aˇr ˇreˇsitel˚ u CESNETu. Zkuˇsenosti z´ıskan´e v pr˚ ubˇehu projektu byly zpracov´any formou t´eto z´avˇereˇcn´e zpr´avy. V nˇekter´em z pˇr´ıˇst´ıch projekt˚ u bychom se r´adi zab´ yvali zlepˇsen´ım syst´emu Mysphere2 a jeho napojen´ım na dalˇs´ı agendy v s´ıti WEBnet (projekt mysphere1) a CESNET (Mentat).

8

Pˇ r´ınosy projektu

C´ılem a z´ aroveˇ n pˇr´ınosem projektu je n´avrh a implementace syst´emu pro optimalizaci a automatizaci procesu ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u (Mysphere2 a NetSpy). Proces ˇreˇsen´ı se zrychlil, d´ıky tomu z´ıskala skupina pracovn´ık˚ u ˇreˇs´ıc´ı tyto incidenty v´ıce ˇcasu na jin´e rozvojov´e ˇcinnosti. Nasazen´ı syst´emu m´ a pozitivn´ı dopad i na koncov´e uˇzivatele s´ıtˇe. Ti jsou pˇri pouˇz´ıv´an´ı karant´enn´ıho syst´emu informov´ ani neprodlenˇe a maj´ı st´ale dostupn´e z´akladn´ı prostˇredky (email, informace, antivir . . . ), kter´e mohou uˇzivatel´e vyuˇz´ıt pro vyˇreˇsen´ı incidentu. Tento pˇr´ıstup zvyˇsuje jak dostupnost, tak i vyuˇzitelnost s´ıtˇe WEBnet a CESNET. V r´ amci anal´ yzy dostupn´ ych prostˇredk˚ u byl proveden rozbor moˇznost´ı pro dosaˇzen´ı poˇzadovan´ ych c´ıl˚ u a to s ohledem na moˇznosti s´ıtˇe WEBnet. Vzhledem k tomu, ˇze podobnou architekturu maj´ı i ostatn´ı s´ıtˇe ˇclen˚ u CESNETu, jsou znalosti a zkuˇsenosti z anal´ yzy k dispozici i ostatn´ım ˇclen˚ um sdruˇzen´ı formou t´eto z´ avˇereˇcn´e zpr´avy. V pr˚ ubˇehu projektu proˇsli ˇreˇsitel´e ˇskolen´ım bezpeˇcnosti webov´ ych aplikac´ı a z´ uˇcastnili se nˇekolika konferenc´ı. Touto ˇcinnost´ı byly z´ısk´any zaj´ımav´e kontakty na odborn´ıky z oblasti poˇc´ıtaˇcov´e bezpeˇcnosti. Z´ıskan´e znalosti a kontakty jsou aktivnˇe vyuˇz´ıv´any k plnˇen´ı pracovn´ıch u ´kol˚ u v aktivit´ ach CESNETu, zejm´ena pak: CESNET-CSIRT (v´ yvoj IDS), MetaCentrum (penetraˇcn´ı testy) a GN320 (prezentace a publikace). Splnˇen´ım c´ıl˚ u projektu jsme zakonˇcili s´erii projekt˚ u [3], [5], [6], inspirovanou ˇcinnost´ı koleg˚ u z rwth-aachen.de (viz [2]), tj. vytvoˇren´ım prototypu s´ıt’ov´eho prostˇred´ı, kter´e je schopn´e pruˇznˇe reagovat na bezpeˇcnostn´ı hrozby v s´ıti.

9

Tiskov´ a zpr´ ava

Na Z´ apadoˇcesk´e univerzitˇe v Plzni byl dokonˇcen projekt zkvalitnˇen´ı procesu ˇreˇsen´ı bezpeˇcnostn´ıch incident˚ u. V r´ amci jeho plnˇen´ı byl v s´ıti WEBnet uveden do provozu syst´em pro automatizaci 20 Multi-Gigabit

European Academic Network

19

10

´ ˇ ´I S PROSTREDKY ˇ VYKAZ HOSPODAREN

procesu a samoobsluhu uˇzivatel˚ u, kter´ y pom´ah´a ˇreˇsit incidenty uvnitˇr s´ıt´ı WEBnet a CESNET2 a t´ım zvyˇsovat jejich celkovou bezpeˇcnost a dostupnost sluˇzeb.

10

V´ ykaz hospodaˇ ren´ı s prostˇ redky

Na projektu se pod´ılely 2 subjekty, a to Fond Rozvoje CESNETu a Z´apadoˇcesk´a univerzita v Plzni. Z prostˇredk˚ u Fondu rozvoje bylo hrazeno cestovn´e na konferenci Chaos Communication Camp ˇ byly hrazeny n´aklady na n´akup literatury, 2011, mzdy a soc. zdrav. pojiˇstˇen´ı. Z prostˇredk˚ u ZCU cestovn´e na konferenci IETF.org 88, soc. a zdravotn´ı pojiˇstˇen´ı, cestovn´e na konferenci Chaos Communication Camp 2011 a ˇskolen´ı webov´e aplikaˇcn´ı bezpeˇcnosti. ˇ v Plzni dle platn´ Vy´ uˇctov´ an´ı provedlo ekonomick´e oddˇelen´ı ZCU ych pˇredpis˚ u. Doklady o n´aˇ kupech a platb´ ach jsou uloˇzeny takt´eˇz na ekonomick´em oddˇelen´ı ZCU. Materi´ al Literatura N´ aklady penˇeˇzn´ıho styku IETF.ORG Doprava na konferenci IETF.ORG (kapesn´e) Stravn´e na konferenci CCC 2011 ˇ Skolen´ ı webov´e aplikaˇcn´ı bezpeˇcnosti Vloˇzn´e a doprava na konferenci CCC 2011 Mzdy ˇreˇsitel˚ um Soci´ aln´ı a zdrav. poj. Celkem CESNET ˇ Celkem ZCU Celkem

Cena 4 653,651,714,13 644,42 491,11 721,78 000,27 000,116 721,62 153,178 874,-

Hrazeno ˇ ZCU ˇ ZCU ˇ ZCU ˇ ZCU ˇ ZCU CESNET CESNET CESNET -

Kategorie knihy, uˇc. pom˚ ucky cestovn´e cestovn´e cestovn´e ostatn´ı sluˇzby cestovn´e mdzy soc. zdrav. poj. -

Celkem bylo ˇcerp´ ano 178 874,- Kˇc, z toho z Fondu rozvoje CESNETu 116 721,- Kˇc a ze strany ˇ ˇcin´ı 34,75%. Z´ apadoˇcesk´e univerzity 62 153,- Kˇc, ˇc´ımˇz spolu´ uˇcast ZCU Rozd´ıl skuteˇcn´ ych n´ aklad˚ u (178 tis,-) oproti pl´anovan´ ym (241 tis.) je tvoˇren nevyˇcerp´an´ım vˇsech prostˇredk˚ u na cestovn´e na vybranou konferenci CCC2011 (p˚ uvodn´ı odhad n´aklad˚ u byl stanoven na z´ akladˇe jin´eho typu konference) a prostˇredk˚ u na vloˇzn´e a ˇskolen´ı.

20

LITERATURA A ODKAZY

Literatura a odkazy [1] Pavel Vachek: LaBrea – Technick´ a zpr´ava CESNETu ˇc. 5/2006 http://www.cesnet.cz/doc/techzpravy/2006/ids/ [2] Jan Goebel, Jens Hektor, Thorsten Holz: Advanced honeypot-based intrusion detection ;login: v.31 n.6 – http://www.usenix.org/publications/login/ ˇ v Plzni v oblasti bezpeˇcnost [3] Aleˇs Padrta: Zv´ yˇsen´ı odborn´e kvalifikace specialist˚ u ZCU poˇc´ıtaˇcov´ ych s´ıt´ı a syst´em˚ u Z´ avˇereˇcn´ a zpr´ ava FR CESNET projektu 155/2005 http://fondrozvoje.cesnet.cz/projekt.aspx?ID=155 [4] Pavel Vachek: CESNET Intrusion Detection System Technick´ a zpr´ ava CESNETu ˇc´ıslo 5/2006 http://www.cesnet.cz/doc/techzpravy/2006/ids/ ˇ sen´ı bezpeˇcnostn´ıch incident˚ [5] Michal Petroviˇc, Aleˇs Padrta: Reˇ u v poˇc´ıtaˇcov´e s´ıti Z´apadoˇcesk´e univerzity Z´ avˇereˇcn´ a zpr´ ava FR CESNET projektu 218/2007 http://fondrozvoje.cesnet.cz/projekt.aspx?ID=218 [6] Radoslav Bod´ o, Aleˇs Padrta: Rozvoj syst´em˚ u pro detekci pr˚ unik˚ u v s´ıti WEBnet Z´ avˇereˇcn´ a zpr´ ava FR CESNET projektu 230R2/2007 http://fondrozvoje.cesnet.cz/projekt.aspx?ID=230 [7] PacketFence: Open Source NAC (Network Access Control) http://www.packetfence.org [8] Tom Poderma´ nski, Matˇej Gr´egr: Tom Poderma´ nski, Matˇej Gr´egr Semin´ aˇr Monitorov´ an´ı provozu kampusov´ ych s´ıt´ı, 2011 http://www.cesnet.cz/akce/2011/monitorovani-kampusovych-siti/p/podemanskimonitoring-ipv6-toku.pdf [9] NAV: Network Administration Visualized http://metanav.uninett.no/ [10] Aleˇs Padrta, Jan Mach, Radek Ork´ aˇc: Vyuˇzit´ı loggingu Semin´ aˇr Monitorov´ an´ı provozu kampusov´ ych s´ıt´ı, 2011 http://www.cesnet.cz/akce/2011/monitorovani-kampusovych-siti/p/padrta-logging.pdf [11] Greg Conti: Security Data Visualization ISBN: 978-1-59327-143-5 [12] The Intrusion Detection Message Exchange Format (IDMEF) http://tools.ietf.org/html/rfc4765 [13] Radoslav Bod´ o, Daniel Kouˇril: EGI Security Challenge 5: Lehce na cviˇciˇsti ˇ Sborn´ık konference Europen.cz, podzim 2011, Zeliv ISBN: 978-80-86583-22-8 [14] Radoslav Bod´ o: Zkuˇsenosti s IDS Semin´ aˇr Monitorov´ an´ı provozu kampusov´ ych s´ıt´ı, 2011 http://www.cesnet.cz/akce/2011/monitorovani-kampusovych-siti/p/bodo-ids-zkusenosti.pdf [15] Michal Kostˇenec: Honeypoty Kippo a Dionaea Semin´ aˇr Monitorov´ an´ı provozu kampusov´ ych s´ıt´ı, 2011 http://www.cesnet.cz/akce/2011/monitorovani-kampusovych-siti/p/kostenec-honeypot.pdf ˇ sen´ı bezpeˇcnostn´ıch incident˚ [16] Michal Kostˇenec: Reˇ u v s´ıti Diplomov´ a pr´ ace, 2009, Plzeˇ n

21

A

A A.1

Pˇ r´ılohy Uk´ azka ˇ casov´ an´ı zpracov´ an´ı incident˚ u

Obr´ azek 17: Uk´ azka naˇcasov´an´ı zpracov´an´ı incident˚ u

22

ˇ ´ILOHY PR

A.2

Mnoˇ ziny incident˚ u pro vyhodnocen´ı zmˇ eny procesu

bez mysphere2 Incident p2pshare4 p2pshare5 p2pshare6 botnet4 botnet5 botnet6 spam4 spam5 spam6 scan4 scan5 scan6

RT 115280 92311 105914 116135 115766 117558 115213 103951 113324 113269 108410 103132

pocatecni oznameni Nov 11 14:26:04 2010 May 04 12:15:31 2009 May 11 15:24:43 2010 Dec 06 05:17:32 2010 Nov 25 21:02:17 2010 Jan 24 06:57:23 2011 Nov 10 17:11:08 2010 Mar 11 12:40:46 2010 Sep 27 16:30:28 2010 Sep 27 12:05:47 2010 Aug 04 08:23:48 2010 Feb 23 13:05:39 2010

informovani uzivatele Nov 12 07:06:59 2010 May 04 14:18:24 2009 May 12 08:03:56 2010 Dec 06 17:23:53 2010 Nov 26 13:54:16 2010 Jan 24 09:17:44 2011 Nov 10 19:36:38 2010 Mar 11 14:07:54 2010 Sep 29 07:55:05 2010 Sep 27 13:13:14 2010 Aug 04 10:00:51 2010 Feb 23 13:13:59 2010

prvni reakce uzivatele Nov 20 10:30:55 2010 May 06 15:14:30 2009 May 12 16:50:44 2010 Dec 06 17:54:37 2010 Nov 26 15:55:23 2010 Jan 26 06:48:57 2011 Nov 14 14:07:30 2010 Mar 11 14:24:48 2010 Nov 16 20:37:08 2010 Oct 01 08:58:47 2010 Aug 04 11:32:53 2010 Mar 31 11:38:11 2010

vyreseni incidentu Nov 23 13:12:24 2010 May 06 15:14:30 2009 May 17 12:10:11 2010 Dec 06 20:14:05 2010 Nov 30 15:53:10 2010 Jan 26 13:50:36 2011 Nov 15 07:12:51 2010 Mar 19 12:07:21 2010 Nov 17 11:42:00 2010 Oct 01 09:08:55 2010 Oct 22 07:49:41 2010 Apr 08 09:51:38 2010 Pr˚ umˇ er Medi´ an

23

s mysphere2 Incident p2pshare1 p2pshare2 p2pshare3 botnet1 botnet2 botnet3 spam1 spam2 spam3 scan1 scan2 scan3

RT 130513 130754 127905 124504 130638 130399 126309 124768 130402 122702 127033 128627

pocatecni oznameni Oct 29 02:06:01 2011 Nov 03 14:38:45 2011 Sep 15 12:44:55 2011 Jul 01 07:58:04 2011 Nov 02 06:59:45 2011 Oct 27 07:59:48 2011 Aug 22 15:38:36 2011 Jul 08 07:00:00 2011 Oct 27 07:00:00 2011 May 17 14:15:40 2011 Sep 05 07:00:00 2011 Sep 23 07:00:00 2011

informovani uzivatele Oct 31 08:24:31 2011 Nov 04 08:22:39 2011 Sep 15 13:17:29 2011 Jul 01 14:20:48 2011 Nov 02 09:08:21 2011 Oct 27 10:15:16 2011 Aug 23 16:19:19 2011 Jul 11 22:16:36 2011 Oct 27 10:33:40 2011 May 17 20:57:06 2011 Sep 05 10:59:06 2011 Sep 23 19:10:34 2011

prvni reakce uzivatele Nov 06 20:55:25 2011 Nov 04 11:24:45 2011 Sep 22 16:36:50 2011 Jul 12 11:37:44 2011 Nov 02 10:47:17 2011 Oct 27 12:48:09 2011 Aug 23 20:55:16 2011 Jul 12 11:38:48 2011 Nov 13 12:09:24 2011 May 19 12:01:35 2011 Sep 05 14:50:51 2011 Sep 26 15:40:00 2011

vyreseni incidentu Nov 07 11:20:14 2011 Nov 07 09:41:37 2011 Sep 30 14:46:47 2011 Jul 12 11:45:18 2011 Nov 02 10:59:25 2011 Oct 31 08:52:25 2011 Aug 23 21:16:59 2011 Jul 12 13:33:23 2011 Nov 14 10:22:05 2011 May 19 14:00:01 2011 Sep 08 08:27:39 2011 Oct 05 11:09:07 2011 Pr˚ umˇ er Medi´ an

TTIU [m] 1001 123 999 726 1012 140 146 87 2365 67 97 8

TTFR [m] 11724 2936 527 31 121 2731 5431 17 69942 5506 92 51684

TTR [m] 17206 3059 8445 897 6891 3293 6602 11487 73212 5583 113726 63106

564 143

12562 2834

26126 7668

TTIU [m] 3319 1064 33 383 129 135 1481 5237 214 401 239 731

TTFR [m] 9391 182 10279 15677 99 153 276 802 24636 2344 232 4109

TTR [m] 13574 5463 21722 16067 240 5873 1778 6153 26182 2864 4408 17529

1114 392

5682 1573

10154 6013

A ˇ ´ILOHY PR

A

A.3

Nastaven´ı karan´ etn´ıho firewallu

# Generated by iptables-save v1.4.8 on Fri May 20 11:41:02 2011 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :BASE - [0:0] :SHELL - [0:0] :WEB - [0:0] :QUARANTINEF - [0:0] # zakladni prostredky pro ziskani konektivity a prihlaseni uzivatele :KDC - [0:0] :DNS - [0:0] :LDAP - [0:0] :AFS - [0:0] :NTP - [0:0] # aaa :STROJE - [0:0] :FAIS - [0:0] :FTPZCU - [0:0] # ciste webove filtry (aaa :SUPPORT - [0:0] :DOWNLOAD - [0:0] :PHONE - [0:0] :WEBKDC - [0:0] :WEBMAIL - [0:0] :EPO - [0:0]

-A INPUT -s 147.228.0.0/16 -j WEB -A INPUT -s 147.228.0.0/16 -j SHELL -A INPUT -j BASE -A -A -A -A -A -A -A

BASE -s 127.0.0.0/8 -i lo -j ACCEPT BASE -m state --state RELATED,ESTABLISHED -j ACCEPT BASE -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable BASE -p icmp -j ACCEPT SHELL -p tcp -m tcp --dport 22 -j ACCEPT WEB -p tcp -m tcp --dport 80 -j ACCEPT WEB -p tcp -m tcp --dport 443 -j ACCEPT

-A FORWARD -i eth1 -j QUARANTINEF -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A -A -A -A -A -A -A

QUARANTINEF QUARANTINEF QUARANTINEF QUARANTINEF QUARANTINEF QUARANTINEF QUARANTINEF

-j -j -j -j -j -j -j

KDC DNS LDAP AFS NTP STROJE FAIS

-A -A -A -A -A -A

QUARANTINEF QUARANTINEF QUARANTINEF QUARANTINEF QUARANTINEF QUARANTINEF

-j -j -j -j -j -j

SUPPORT PHONE DOWNLOAD WEBKDC WEBMAIL EPO

-A KDC -d 147.228.aa.aa/32 -A KDC -d 147.228.aa.aa/32 -A KDC -d 147.228.aa.aa/32 # aa windowsi AD -A KDC -d 147.228.aa.aa/32 -A KDC -d 147.228.aa.aa/32

-m udp -p udp --dport 88 -j ACCEPT -m udp -p udp --dport 88 -j ACCEPT -m udp -p udp --dport 88 -j ACCEPT -j ACCEPT -j ACCEPT

-A DNS -d 147.228.aa.aa -m udp -p udp --dport 53 -j ACCEPT -A DNS -d 147.228.aa.aa -m udp -p udp --dport 53 -j ACCEPT -A DNS -d 147.228.aa.aa -m udp -p udp --dport 53 -j ACCEPT -A LDAP -d 147.228.aa.aa -m multiport -p tcp --dports 389,636 -j ACCEPT -A LDAP -d 147.228.aa.aa -m multiport -p tcp --dports 389,636 -j ACCEPT -A AFS -p udp -m multiport --dports 7000:7010 -j ACCEPT

24

ˇ ´ILOHY PR

A

-A NTP -p udp -m multiport --port 123 -j ACCEPT -A FAIS -d 147.228.aa.aa/32 -j ACCEPT -A FAIS -d 147.228.aa.aa/32 -j ACCEPT -A FAIS -d 147.228.aa.aa/32 -j ACCEPT #TODO: port range ... -A FTPZCU -d 147.228.aa.aa/32 -j ACCEPT -A -A -A -A -A -A -A -A -A

STROJE -d 147.228.aa.aa -m multiport -p tcp --dports 80,443 -j ACCEPT SUPPORT -d 147.228.aa.aa -m multiport -p tcp --dports 80,443 -j ACCEPT PHONE -d 147.228.aa.aa -m multiport -p tcp --dports 80,443 -j ACCEPT DOWNLOAD -d 147.228.aa.aa -m multiport -p tcp --dports 80,443 -j ACCEPT WEBKDC -d 147.228.aa.aa -m tcp -p tcp --dport 443 -j ACCEPT WEBKDC -d 147.228.aa.aa -m tcp -p tcp --dport 443 -j ACCEPT WEBKDC -d 147.228.aa.aa -m tcp -p tcp --dport 443 -j ACCEPT WEBMAIL -d 147.228.aa.aa -m multiport -p tcp --dports 80,443 -j ACCEPT EPO -d 147.228.aa.aa -m multiport -p tcp --dports 80,443,8443,8444 -j ACCEPT

COMMIT # Completed on Fri May 20 11:41:02 2011 # Generated by iptables-save v1.4.8 on Fri May 20 11:41:02 2011 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] #tohle tady musi byt kvuli kradeni weboveho trafficu :STROJE - [0:0] :SUPPORT - [0:0] :DOWNLOAD - [0:0] :PHONE - [0:0] :WEBKDC - [0:0] :WEBMAIL - [0:0] :EPO - [0:0] :FTPZCU - [0:0] -A -A -A -A -A -A -A -A -A -A

PREROUTING PREROUTING PREROUTING PREROUTING PREROUTING PREROUTING PREROUTING PREROUTING PREROUTING PREROUTING

-i -i -i -i -i -i -i -i -i -i

eth1 eth1 eth1 eth1 eth1 eth1 eth1 eth1 eth1 eth1

-j -j -j -j -j -j -j -j -p -p

STROJE SUPPORT PHONE DOWNLOAD WEBKDC WEBMAIL EPO FTPZCU tcp -m tcp --dport 80 -j REDIRECT --to-ports 80 tcp -m tcp --dport 443 -j REDIRECT --to-ports 443

-A STROJE -d 147.228.aa.aa -m multiport -p tcp --dports 80,443 -j ACCEPT -A SUPPORT -d 147.228.aa.aa -m multiport -p tcp --dports 80,443 -j ACCEPT -A PHONE -d 147.228.aa.aa -m multiport -p tcp --dports 80,443 -j ACCEPT -A DOWNLOAD -d 147.228.aa.aa -m multiport -p tcp --dports 80,443 -j ACCEPT -A WEBKDC -d 147.228.aa.aa -m tcp -p tcp --dport 443 -j ACCEPT -A WEBKDC -d 147.228.aa.aa -m tcp -p tcp --dport 443 -j ACCEPT -A WEBKDC -d 147.228.aa.aa -m tcp -p tcp --dport 443 -j ACCEPT -A WEBMAIL -d 147.228.aa.aa -m multiport -p tcp --dports 80,443 -j ACCEPT -A EPO -d 147.228.aa.aa -m multiport -p tcp --dports 80,443,8443,8444 -j ACCEPT #TODO: port range ... -A FTPZCU -d 147.228.aa.aa/32 -j ACCEPT COMMIT # Completed on Fri May 20 11:41:02 2011

25

ˇ ´ILOHY PR

A

A.4

Uk´ azky obrazovek pro z´ısk´ an´ı zpˇ etn´ e vazby od uˇ zivatele

Obr´ azek 18: Informaˇcn´ı str´anka responses/virus.

26

ˇ ´ILOHY PR

A

Obr´ azek 19: Informaˇcn´ı str´anka responses/p2pshare.

27

ˇ ´ILOHY PR

A

A.5

ˇ ´ILOHY PR

support.zcu.cz :: Jak postupovat v pˇ r´ıpadˇ e zavirov´ an´ı poˇ c´ıtaˇ ce

Jak postupovat v případě zavirování počítače Obsah 1 Proč mi virus zaviroval počítač ? 2 Jak k tomu mohlo dojít ? 3 Jak se zachovat v případě napadení ? 4 Jak napadení předcházet ?

Proč mi virus zaviroval počítač ? Díky internetu, celosvětové komunikační sítí, může být pro zločince výhodné působit i v tomto prostoru. Dnešní útočníci se zpravidla zajímají o: osobní údaje, přihlašovací jména a hesla, kontakty, emailové adresy (např. z používaného poštovního programu), licenční čisla nainstalovaných programů a bankovní údaje do internetbankingu. Mezi dlouhodobé následky napadení virem patří útoky na jiné oběti v internetu, rozesílání spamu, využívání výpočetní kapacity procesoru pro útočníkovy účely a využití počítače pro uložení útočníkových dat (např. warez).

Jak k tomu mohlo dojít ? K napadání klientských počítačů dochází ve velké míře několika základními způsoby. Instalace viru osobně uživatelem často jsou schovány v různých freewarových programech, např. přikrášlují uživatelovu plochu, slibují bezplatnou antivirovou ochranu nebo zrychlené připojení k internetu. Dalším případem to bývají tzv. cracky pro komerční programy jejichž spuštění a provoz vyžaduje licenční číslo (nebo jinou formu ověření legálnosti kopie SW). Používání počítače bez aktivní antivirové ochrany a záplat operačního systému pokud na takovém počítači brouzdáte internetem, můze být PC napadeno pouhým navštívením napadnuté stránky (zaručeně výborný odkaz na facebooku), otevřením zavirovaného dokumentu (hromadné přeposílání vtipných prezentací), zavirovaného emailu nebo jeho přílohy. Případně může útočník využít některou z chyb operačního systému vzdáleně po síti, aniž byste se o nákazu museli sami přičinit.

Jak se zachovat v případě napadení ? Je potřeba počítač preinstalovat, tento (mnohdy velmi nepříjemný) krok představuje nejbezpečnější postup jak se viru zbavit. Pouhé odvirování pomocí některého z antivirových programů nemusí být dostačující. Při reinstalaci počítače je dobré si uvědomit: viry se kromě sítě pořád dokáží šířit postaru, tj. infekcí ostatních programů v počítači. Při reinstalaci byste si měli zazálohovat pouze čistá data (doc,mp3,jpg,...) a žádné instalační soubory vašich oblíbených programů. ihned po instalaci operačního systému byste měli nainstalovat antivirový software ( Kaspersky Anti-Virus, McAfee, Avast (http://www.avast.com/cs-cz/free-antivirus-download) ) firewall ( Kaspersky Anti-Virus, McAfee, Avast (http://www.avast.com/cs-cz/free-antivirus-download) ), nebo využívat ochranu poskytovanou operačním systémem aktualizovat operační systém a zapnout automatické aktualizace (MS Windows (http://www.microsoft.com/cze/athome/security/update/msupdate_keep_current.mspx) )

28

A

ˇ ´ILOHY PR

v případě reinstalace serveru je velmi vhodné zrevidovat veškeré přetahované skripty a aplikace. Často zjistíte, že virus se v nějaké formě rozšířil po disku i do dalších aplikací (připojil se k php aplikaci podobně jako k exe souboru). po reinstalaci (nebo i před ní, ale z bezpečného počítače) byste měli změnit všechna důležitá používaná hesla (Orion heslo, heslo pro internetbanking, ...) před natažením zazálohovaných osobních dat byste měli udělat jejich důkladnou antivirovou kontrolu provést antivirovou kontrolu všech mobilních zařízení (mobilní telefon, mp3 přehrávač, ...) a úložišť dat (USB disky, fotoaparáty, ... ) zamyslet se nad způsobem, jak a kdy mohlo dojít k napadení počítače a pro příště se takové činnosti vyvarovat

Jak napadení předcházet ? Měli byste dodržovat několik zásad bezpečného chování při práci s počítačem: používat aktualizovaný operační systém a aktualizované verze používaných programů vždy používat systém antivirové ochrany a firewall pro běžnou práci používat neprivilegovaný účet (nepracovat pod administrátorem) upřednostňovat bezpečné varianty internetových protokolů (https, ssh, ftps, ...) správně zacházet s přístupovými hesly neotevírat nevyžádané emaily používat pouze ověřené programy z ověřených zdrojů používat legálně nabitý SW. V dnešní době existuje téměř ke každému komerčnímu produktu jeho volně šiřitelná varianta administrátoři serverů nebo většího počtu stanic by měli sledovat bezpečnostní zprávy týkající se jimi provozovaných produktů nebo jiné portály zabývající se aktuální bezpečnostní situace v internetu ISC - Internet Storm Center (https://isc.sans.edu) Přehled nejčastěji používaných volně šiřitelných variant SW Program

Produkt

Alternativa

Operační systém

MS Windows

Debian GNU/Linux (http://www.debian.org/distrib/index.cs.html) ; Ubuntu (http://www.ubuntu.cz/ziskejte/stahnout)

Textový procesor

MS Office

OpenOffice (http://www.openoffice.cz/stahnout)

Emailový klient

MS Outlook

Mozilla Thunderbird (http://czilla.cz/produkty/thunderbird/)

Webový browser

MS Internet Mozilla Firefox Explorer (http://czilla.cz/produkty/firefox/)

Editor obrázků

Adobe Photoshop

GIMP (http://www.gimp.cz)

Editor vektorové grafiky

Corel Draw

Inkscape (http://inkscape.org/download/? lang=cs)

Adobe Premiere

Kino

SoundForge

Audacity (http://audacity.sourceforge.net/? lang=cs)

Videostřižna Editor hudby

Kategorie: Bezpečnost | Bodikoviny

29

A

A.6

Podrobn´ y v´ yvojov´ y diagram

Obr´ azek 20: V´ yvojov´ y diagram: Zaloˇzen´ı incidentu.

Obr´ azek 21: V´ yvojov´ y diagram: Informov´an´ı uˇzivatele.

30

ˇ ´ILOHY PR

A

Obr´ azek 22: V´ yvojov´ y diagram: Zablokov´an´ı uˇzivatele.

Obr´ azek 23: V´ yvojov´ y diagram: Z´ısk´an´ı zpˇetn´e vazby.

31

ˇ ´ILOHY PR

A

Obr´ azek 24: V´ yvojov´ y diagram: Odblokov´an´ı uˇzivatele.

Obr´ azek 25: V´ yvojov´ y diagram: zavˇren´ı incidentu.

32

ˇ ´ILOHY PR

A

A.7

Uk´ azky administr´ atorsk´ eˇ c´ asti aplikace Mysphere2

Obr´ azek 26: View incidents/view

Obr´ azek 27: View incidents/notice

33

ˇ ´ILOHY PR

A

Obr´ azek 28: View incidents/index

A.8

Uk´ azky generovan´ ych informaˇ cn´ıch email˚ u

34

ˇ ´ILOHY PR

A

35

ˇ ´ILOHY PR