CESNET monitoruje všechny toky ve své síti

Roman Bořánek 12. 2. 2016

Seminář o bezpečnosti sítí a služeb od CESNETu přinesl zajímavé informace o nových projektech a vůbec zkušenostech, které ve sdružení mají. Co se skrývá pod názvy FTAS, Warden, Mentat, SABU nebo PROKI?

Bezpečnost síťové části e-Infrastruktury CESNET

Infrastruktura CESNET má cca šest tisíc kilometrů tras a je složená převážně z optických vláken. Agregovaná kapacita zahraničních linek pak činí kolem 120 Gbps. Tomáš Košňar účastníkům vyložil, jak se takový síťový „kolos“ hlídá a reguluje z hlediska bezpečnosti. Základní východisko je, že se neomezuje žádný legitimní provoz, říká. Samotný CESNET tedy zasahuje až v případě závažných anomálií nebo tehdy, kdy se na něj nějaký člen sdružení obrátí s žádostí o pomoc. O vhodném nastavení regulace a kritérií se obvykle diskutuje v různých skupinách jako např. CSIRT.CZ nebo FENIX.

Monitoring probíhá na třech úrovních. Tou nejvyšší je systém G3 monitorující aktivní prvky v síti. Je postavený primárně na bázi SNMP, ale sběr dat může probíhat i dalšími protokoly, říká Košňar. Systém vyhodnocuje a vhodně vizualizuje výtěžnost, chybovost, anomálie apod. Právě vizualizace je důležitá, protože systém sesbírá přesná syrová data, která je ale potřeba lidsky interpretovat. Automaty jsou hezká věc, ale je potřeba ta inteligence za tím. Systém G3 měří cca 220 zařízení a na nich 780 tisíc údajů, v průměru jednou za 430 sekund. K jeho provozu slouží asi 20 procesorových jader.

Tomáš Košňar

Tomáš Košňar

Ještě detailnější měření zajistí hardwarově akcelerované sondy na perimetru sítě, jejichž výhodou je volitelná úroveň přesnosti. V současné době CESNET provozuje osm produkčních sond a pro tento systém je vyhrazeno 136 procesorových jader. Sondy poskytnou ideální základ pro ruční analýzu a učení se nových jevů. A nakonec se monitoruje i IP provoz na bázi toků, což je z hlediska výpočetního výkonu nejnáročnější – využívá 460 jader. Pro tyto účely CESNET používá FTAS, další systém vlastní výroby, který zpracovává IP provoz a zpřístupňuje informace o provozu.

FTAS praktikuje dva základní typy vyhodnocení. Tzv. semi-real time, kdy se analyzuje a vyhodnocuje krátký časový interval v řádech sekund, a to pouze jednorázově. Tento typ poskytne rychlý, ale jen povrchní výstup. Víc poví analýza ex-post. Tady nás zajímá delší časové okno a soustavnost nějakého jevu, vysvětluje Košňar. Tento způsob analýzy se v zásadě nijak neliší od toho prvního, jen jsou nastaveny měkčí limity. FTAS také umožňuje nastavit detekci anomálií na míru.

Svou přednášku Košňar zakončil shrnutím aktuálních trendů. Asi nejzajímavější je zkracování doby DDoS útoků z jednotek minut i na pouhé jednotky sekund. Takové útoky často cílí např. na herní serverová centra, kde i kratičký výpadek způsobuje velké problémy. A co útoky na IPv6? zní jedna z nejčastějších otázek. Sice existují, ale je jich málo a jsou tak slabé, že nestojí za řeč. Mezi další trend patří spektrální rozmanitost útoků – multi i single flow.

Sběr a zpracování dat z bezpečnostních nástrojů: Systémy Warden a Mentat

Pavel Kácha na semináři představil systémy Warden a Mentat, další řešení z vlastní dílny CESNETu. Jejich cílem je sběr a následně distribuce informací o různých incidentech nebo jevech v sítích. Mailové reportování příliš nelze škálovat, vysvětluje Kácha, proč jsou tyto systémy vlastně třeba. Reportovací systémy už sice existují, ale fungují různě a často spolu nekomunikují, což je problém. Ztrácí se tak velké množství dat, které by mohly poskytnout zajímavé informace.

Proto postupně vznikl systém Warden. Teď už je v třetí iteraci, začínali jsme před lety ve spolupráci s kolegy Masarykovy univerzity. Od první a druhé verze se sice hodně změnil, ale pointa zůstává stejná. Je to chytřejší fronta, kam z jedné strany události strkáte a z druhé strany vám vypadávají, říká Kácha. Se získanými daty pracuje CESNET-CERTS. Warden byl vydán pod BSD licencí, takže si zájemci mohou hrát se zdrojovými kódy. Další informace o fungování systému jsou k dispozici na webu wardenw.cesnet.cz.

Pavel Kácha

Pavel Kácha

Jedním z důležitých kroků byla specifikace formátu, ve kterém se informace o incidentech budou reportovat/sdílet. Vzhledem k jednoduchosti a rozšiřitelnosti byl zvolen formát JSON. Pokud někdy bude potřeba, je možné specifikaci rozšířit. Ale co se jednou kodifikuje, tak už se měnit nebude, ujišťuje Kácha. Specifikace se nazývá IDEA, což je zkratka pro Intrusion Detection Extensible Alert. Systém Warden pak funguje na komunitní bázi, což znamená, že všechny zúčastněné organizace mají přístup ke všem přijatým informacím.

Mladším bratříčkem Wardenu je Mentat (mentat.cesnet.cz) – systém ukládající události z Wardenu, který má rozhraní s nejrůznějšími možnostmi filtrace apod. Tento projekt zatím není open-source, ale otevření je v plánu. U Mentatu se ale narazilo na praktický problém: nejsou lidé, kteří by informace zpracovávali. Vývojáři proto Mentat naučili generovat e-mailové reporty. Pro představu, z průměrně miliónu událostí denně vzejde přibližně šedesát reportů.

Stále je ale na čem pracovat. O některých incidentech jsou informace nedostatečné, říká Kácha. Mezi další problémy patří absence kontextu nebo různá kvalita reportů. Poučení tedy zní: informace nestačí jen přebalit a rozeslat. Do systému proto bylo implementováno třeba zamezení opakování oznámení nebo stanovení závažnosti incidentu. Také bylo vytvořeno rozhraní pro správce, kde si účastníci projektu mohou zobrazovat podrobné informace o reportech včetně grafů apod.

Sběr a zpracování dat z bezpečnostních nástrojů: quo vadis CESNET?

Andrea Kropáčová uvedla SABU (Sdílení a analýza bezpečnostních událostí), což je nejnovější projekt CESNETu, který financuje Ministerstvo vnitra. V projektu je zapojena také Masarykova univerzita. Cílem je kromě analýzy bezpečnostních událostí také najít nové zdroje dat a zjistit, jak je co nejlépe klasifikovat. Jak už z předchozího textu možná tušíte, základním kamenem projektu je právě Warden. V roce 2017 se chystá testovací nasazení, produkční nasazení na národní úrovni je pak plánováno na rok 2019. Ideální by ale samozřejmě bylo navázání spolupráce na mezinárodní úrovni.

Andrea Kropáčová

Andrea Kropáčová

Jako další si vzal slovo Václav Bartoš, který ukázal zajímavé statistiky o bezpečnostních incidentech z Wardenu. Velkou většinu bezpečnostních událostí představuje skenování portů, dál jsou to pokusy o přihlášení. Další události už mají podstatně menší zastoupení. Asi nepřekvapí, že mezi nejčastější země původu patří Čína, Rusko či Indie. Zdroj v ČR má jen asi jedno procento událostí, přičemž nejčastěji je to od poskytovatelů jako Wedos, UPC a O2. Podle Bartoše má smysl se podrobněji zabývat adresami, které jsou velmi aktivní – 3,5 % adres totiž má na svědomí téměř polovinu událostí.

Aby těch projektů nebylo málo, přišel Pavel Bašta představit ještě jednu novinku – PROKI (Predikce a ochrana před kybernetickými incidenty). I tentokrát je potřeba informace incidentech nejprve posbírat. Část informací bude zcela veřejná, k části budou mít přístup jen subjekty splňující některé požadavky. Cílem projektu je ale hlavně umožnění pokročilého prohledávání incidentů, nalézání souvislostí apod. Právě tato část přispěje k prevenci. Pro sběr incidentů se bude používat modulární open-source software IntelMQ, vyhledávání zajistí Elasticsearch. Data obohatí také databáze jako VirusTotal a další.

Forenzní laboratoř sdružení CESNET

Andrea Kropáčová dál představila Forenzní laboratoř sdružení CESNET, neboli FLAB. Laboratoř původně měla sloužit jako podpůrné pracoviště pro bezpečnostní tým CESNET-CERTS, ale časem se rozrostla.Nabízí komplex služeb od analýzy bezpečnostního incidentu, penetračních testů přes zátěžové testy a odbornou analýzu, říká Kropáčová. Přestože laboratoř stále spolupracuje hlavně s bezpečnostním týmem, který do ní např. posílá malware k analýze apod., tak si její služby mohou objednat i externí subjekty. Nejčastěji jde o penetrační testy, jejichž cílem je odhalit zranitelná místa dřív než útočník. Výstupem je závěrečná zpráva a většinou i workshop s klientem.

Vedoucí laboratoře Aleš Padrta pak popsal jeden konkrétní případ, na kterém se svým týmem pracoval. Jednalo se o malware Houdini, který minulý podzim terorizoval studenty Západočeské univerzity v Plzni. Studenti za administrátory chodili s tím, že se jim špatně kopírují soubory z USB flash disků. Flash disk totiž obsahoval zástupce i původní soubory, které byly skryté, vysvětluje Padrta. Otevření zástupce nejenže otevře vyžadovaný soubor, ale zároveň spustí skript ve formátu .wsf (Visual Basic), který malware zkopíruje do počítače a upraví registry, aby si zajistil své spuštění při každém spuštění počítače.

Aleš Padrta

Aleš Padrta

A takto se malware šíří dál. Když zjistí, že je k počítači připojeno zapisovatelné USB zařízení, tak schová původní soubory na něm a nahradí je zástupci s odkazem na skript. Antiviry tehdy skript nedokázaly rozeznat, takže jediným efektivním způsobem ochrany bylo blokování spouštění .wsf skriptů. Padrtra upozorňuje i na to, že kdybychom před uživateli nezatajovali důležité informace jako přípony souborů, možná by se na malware přišlo dřív. Kód skriptu byl mnohokrát obfuskovaný, ale to zásadní se krývalo v cca pětisetřádkovém, tedy relativně krátkém, kódu.

Houdini (někdy také Dinihou) kromě už popsané funkcionality také komunikuje s C&C serverem, takže se umí aktualizovat nebo i odinstalovat. Také zvládá stahování i odesílání souborů. Vzhledem ke komunikaci se serverem lze přítomnost malwaru odhalit i analýzou síťového provozu. Nakonec se zjistilo, že lokálním epicentrem bylo plzeňské copycentrum, ale malware se jistě šířil i v dalších koutech světa. Pracovníci laboratoře vyvinuli skript, se kterým lze malware z počítače kompletně odstranit. A dnes? Dnes už ho zablokuje drtivá většina antivirových programů.

Fotografie poskytlo sdružení CESNET, autorkou je Klára Thomasová.

Našli jste v článku chybu?
Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

DigiZone.cz: Vláda schválila digitální vysílání ČRo

Vláda schválila digitální vysílání ČRo

DigiZone.cz: ČTÚ červenec: rušení trochu vzrostlo

ČTÚ červenec: rušení trochu vzrostlo

Podnikatel.cz: Kauza z Vinohrad pokračuje. Policie se omlouvá

Kauza z Vinohrad pokračuje. Policie se omlouvá

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Lupa.cz: Samořídicí taxíky jsou tu. Začíná s nimi Uber

Samořídicí taxíky jsou tu. Začíná s nimi Uber

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Měšec.cz: Platíme NFC mobilem. Konečně to funguje!

Platíme NFC mobilem. Konečně to funguje!

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila

Vitalia.cz: Galerie: Strouhanka ze starých rohlíků? Kdepak

Galerie: Strouhanka ze starých rohlíků? Kdepak

Lupa.cz: Olympiáda zakázala GIFy. Moc to nepomáhá

Olympiáda zakázala GIFy. Moc to nepomáhá

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

Podnikatel.cz: Týká se vás EET? Chtějte od berňáku posudek

Týká se vás EET? Chtějte od berňáku posudek

Vitalia.cz: Vakcína Cervarix je oficiálně i pro chlapce

Vakcína Cervarix je oficiálně i pro chlapce

Podnikatel.cz: OSA zdražuje poplatky. Zaplatíte o polovinu víc

OSA zdražuje poplatky. Zaplatíte o polovinu víc

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

DigiZone.cz: Další rána pro piráty: 6 měsíců

Další rána pro piráty: 6 měsíců

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte