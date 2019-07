V květnu tohoto roku proběhlo největší cvičení kybernetické bezpečnosti v Česku – Cyber Czech. To pořádá Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) od roku 2015 a to ve spolupráci s Masarykovou univerzitou v kybernetickému polygonu (KYPO) v Brně. A protože se jednalo o poslední opakování ročníku 2018, rozhodli jsme se vám poodhalit, jak příprava takového cvičení z technického pohledu vypadá.

Jednotlivé týmy jsou během cvičení a už i během jeho přípravy rozděleny dle barev:

Modrý tým má za úkol zabezpečit a ubránit danou infrastrukturu.

Červený tým má za úkol útočit na infrastrukturu Modrých týmů.

Bílý tým připravuje scénář a netechnické úkoly, simuluje uživatele, policii, právní tým, vládní CERT a novináře.

Zelený tým připravuje infrastrukturu Modrých týmů, skórování a monitorování.

Pro Modré týmy (většinou šest týmů po čtyřech lidech) celé cvičení probíhá ve dvou dnech. První den dostanou přístup k pro ně neznámé infrastruktuře. Ta se skládá z několika desítek strojů, u kterých musí nejprve pochopit jejich funkci v infrastruktuře a následně je zabezpečit bez toho, aniž by byla narušena jejich funkce. Druhý den už jsou na ně totiž prováděny útoky ze strany Červeného týmu. Těmto dvěma dnům samotného cvičení však předchází několikaměsíční příprava ze strany Červeného, Bílého a Zeleného týmu.

Příprava cvičení z pohledu Zeleného týmu

Celé cvičení běží ve virtualizační platformě KYPO, která je postavená na systému OpenNebula a využívá virtualizaci KVM. Obsahuje více než 100 virtuálních strojů různých operačních systémů, které běží nad 200 procesorovými jádry s 600 GB paměti. Pro účely vývoje a testování se používá separátní virtualizační platforma VMware vSphere.

Při přípravě ročníku 2016 byly použity textové popisy instalace strojů uložené v Redmine Wiki. Tyto popisy obsahovaly informace o hardwarových prostředcích stroje, nainstalovaném software, nastavení operačního systému, apod. To se však brzy ukázalo jako problematické, protože celý systém byl náchylný na lidské chyby (zapomenutí spuštění příkazu, překlepy apod.) a náročná byla také správa těchto popisů. Redmine Wiki sice poskytuje verzování stránek, ale jakákoliv změna (např. přidání příkazu) vyžadovala úpravu návodu, ověření funkčnosti a informování osoby zodpovědné za nasazení.

Ansible

Pro ročník 2018 jsme se rozhodli pro výraznou změnu, a to pokusit se všechny postupy automatizovat. Primárním cílem bylo snížení počtu chyb způsobených lidmi, zrychlení a zjednodušení nasazení a možnost znovupoužít části kódu pro další ročníky cvičení. Automatizované popisy instalace strojů také částečně slouží jako dokumentace (pokud není dokumentace součástí kódu, rychle zastarává). Jako automatizační nástroj byl zvolen Ansible. Pro naše potřeby totiž:

Podporuje všechny platformy, které jsou ve cvičení použity (Windows, linuxové systémy, Cisco).

Na stroji nemusí běžet žádný agent, Ansible se na stroj připojuje pomocí SSH resp. WinRM.

Úkoly se zapisují v YAML formátu a jsou tak snadno čitelné.

Umožňuje jednoduchou tvorbu vlastních modulů (Python, PowerShell).

Každý úkol musí mít název (zajišťuje Ansible Lint), který slouží jako základní dokumentace.

Ansible má i několik drobných nevýhod, jako je například nevalidování všech parametrů a hodnot před spuštěním playbooku. Validaci provádí až během vykonávání konkrétního úkolu, takže se může stát, že syntaktická chyba je odhalena až v průběhu nasazování. Navíc se občas i v setinkové aktualizaci mění chování modulů a je tak potřeba dbát na to, aby všichni používali stejnou verzi Ansible (bohužel nelze globálně specifikovat minimální verzi, lze to jen v rámci každého playbooku).

Redmine jsme nahradili vlastní instancí GitLabu a veškerý kód začali verzovat v Git repozitářích se všemi výhodami, které Git přináší.

Terraform

Stále bylo nutné ručně vytvářet virtuální stroje na virtualizační platformě podle textového popisu (typ systému, IP adresy, počet CPU, velikost disku apod.). To je zdlouhavý proces, který se navíc v rámci testování nových verzí kódu prováděl několikrát do týdne. Ačkoliv Ansible umožňuje komunikovat s VMware vSphere, vytvářet v něm virtuální stroje a snapshoty, našim požadavkům i přesto nevyhovoval (např. neposkytuje přehled o nasazené infrastruktuře).

Proto jsme zvolili open-source nástroj Terraform od společnosti HashiCorp. Ten umožňuje na základě definice a připravených šablon virtuálních strojů nasadit celou infrastrukturu cvičení, včetně nastavení síťování. Navíc při úpravě definice stroje lze některé změny (zvětšení disku, velikosti paměti, počtu procesorů, …) provést za běhu bez nutnosti vytvářet nový virtuální stroj. Tento nástroj podporuje nejen VMware vSphere, ale i další virtualizační platformy a teoreticky by tak neměl být problém cvičení nasadit i ve veřejném cloudu (například na AWS). Zápis definic (textový formát HCL) je jednoduchý a čitelný a není tedy potřeba vytvářet separátní textové popisy strojů (co je v kódu, to platí).