Projekty a služby sdružení CESNET v oblasti bezpečnosti

Transkript

1 Projekty a služby sdružení CESNET v oblasti bezpečnosti Andrea Kropáčová Jiří Bořík CESNET, z. s. p. o.

2 Provozuje síť národního výzkumu a vzdělávání CESNET2 Založen v roce 1996 Připojeno 27 členů (české VŠ, AV ČR) a cca 280 dalších organizací K e infrastruktuře CESNET se mohou připojit instituce, které se zabývají vědou, výzkumem, vývojem včetně uplatnění jejich výsledků v praxi experimentálním vývojem nebo inovacemi v průmyslu i jiných oborech šířením vzdělanosti, kultury a prosperity vybrané sítě veřejné správy Hlavní cíle: výzkum a vývoj informačních a komunikačních technologií budování a rozvoj e infrastruktury CESNET určené pro výzkum a vzdělávání podpora a šíření vzdělanosti, kultury a poznání Projekt Velká infrastruktura CESNET

3 E infrastruktura CESNET

4 Síť CESNET2

5 CESNET a CESNET2 Externí propojení Sdílená IP 30 Gbps GÉANT 91 Gbps IX a partneři 40 Gbps NIX.CZ 10 Gbps ACONET (VIX) 10 Gbps SANET (SIX) 10 Gbps PIONIER 10 Gbps AMS IX 10 Gbps Google 1 Gbps TWAREN 6 Gbps Tier 1 (Telia) E2E pro výzkum 4x10 Gbps GÉANT Nx10 CBF ACONET, SANET, PIONIER 10 Gbps GLIF

6 CESNET a CESNET2 Externí propojení Sdílená IP 30 Gbps GÉANT 91 Gbps IX a partneři 40 Gbps NIX.CZ 10 Gbps ACONET (VIX) 10 Gbps SANET (SIX) 10 Gbps PIONIER 10 Gbps AMS IX 10 Gbps Google 1 Gbps TWAREN 6 Gbps Tier 1 (Telia) E2E pro výzkum 4x10 Gbps GÉANT Nx10 CBF ACONET, SANET, PIONIER 10 Gbps GLIF Člen sdružení CZ.NIC, NIX.CZ, projektu Fenix Cca 400tis uživatelů

7 Správa sítě CESNET2 1. Transparentní 2. Žádné omezování legitimního provozu (dokud se neobjeví problém) 3. Připojeným sítím nabízíme služby a nástroje pro vlastní monitoring, obranu a seberegulaci

8 Správa sítě CESNET2 Na páteři pracujeme s velkými objemy dat jsme schopni určit, co je anomálie ohrožující infrastrukturu nejsme schopni určit, jestli tok XY může být ohrožující pro koncovou síť Pro určení anomálnosti provozu je důležitý nejen objem, ale i charakteristika datových přenosů např. tok 5tis flow za vteřinu u DNS ok, u PC problém Rozhodujeme se na základě vyhodnocení konkrétní situace na páteři zasahujeme, když je ohrožen chod infrastruktury vše ostatní je na žádost uživatelů (připojených sítí) Máme povinnost a oprávnění zasáhnout při ohrožení infrastruktury nemůžeme a nechceme svévolně zasahovat do provozu koncové sítě

9 CESNET2 - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..

10 Monitoring CESNET2 Plošný, souvislý, na bázi toků HW akcelerované síťové sondy na perimetru sítě bezeztrátové a detailní měření síťových dat na volitelné úrovni detailu měření tunelovaného provozu, měření aplikací HTTP, DNS, SIP užitečné pro ruční analýzu, v případě problému možné vyčlenit provoz statistiky, zdroj dat a informací pro další výzkum FTAS, G3 sběr informací o provozu z páteřních prvů CESNET2 a připojených sítí 50 primárních zdrojů z páteře (20), z koncových sítí (30) aktuálně 20 instancí FTAS, 400 core, cca 180TB, TTL dat >= 60 ~ 90 dní

11 Monitoring CESNET2 Sledujeme perimetr sítě, vstup, výstup provoz od nás ven podvrhávání zdrojových adres provoz vybraných prvků infrastruktury distribuované infrastruktury, např. Datová Úložiště, Gridy klíčové služby (DSN, AAI) skenování portů syn flood útoky útoky hrubou silou na ssh, SIP, DNS tunely DNS amplifikace anomální datové přenosy, paketové rychlosti... on demand...

12 Využití monitorovací infrastruktury konkrétní informace o provozu Bezpečnostní týmy informace o uskutečněném provozu Dohledová pracoviště odhalení podvržení adres Výzkumné týmy automatická detekce anomálií verifikace a analýza bezpečnostních incidentů vzorky dat, ladění sítě obrana sítě, služeb a uživatelů Správce Manažer Ředitel IT systematické sledování provozu sítě (instituce) náhled na provoz sítě zdraví, vytížení sítě architektura sítě a její optimalizace a rozvoj statistiky provozu

13 Bezpečnost: služby Síťové sondy na perimetru sítě CESNET2 Systémy FTAS a G3 (plošný monitoring) Systémy pro sdílení informací Forenzní laboratoř Konzultace a pomoc při návrhu sítě a obrany Asistence při problému Pracoviště stálé služby, NOC dohled nad provozem sítě CESNET2 režim 24/7/365 Vzdělávání, osvěta, (on demand) školení } } STaaS (Security Tools as a Service) support@cesnet.cz Datové úložiště, AAI, Eduroam, Antispamová GW (pračka el. pošty), Grid (náročné výpočty), virtualizační platforma... VIP služby... individuální služby a péče.

14 Založena 2011 Podpůrné pracoviště pro CESNET CERTS analýza incidentů a hrozeb zvládání incidentů Služby analýza vektoru útoku, analýza aktivity uživatele odborná analýza technologie penetrační testy sítě a služeb zátěžové testy (odolnost proti DoS) sítě a služeb

15 Asistence připojeným sítím Připojená síť má podezření, že něco není v pořádku Připojená síť je zdrojem problému (útoku) Připojená síť je cílem útoku (např. typu záplava) Objeví se plošný útok na uživatele (phishing nesoucí malware) Objeví se zranitelnost (HB, ShellShock) Konzultace, zhodnocení situace Ad hoc analýza síťového provozu Dlouhodobé systematické sledování podezřelého provozu Otestování zařízení v síti, identifikace nakažených zařízení Filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina Znemožnění komunikace nakažených strojů (v koncové síti)

16 Federativní služby CESNET Jiří Bořík,

17 Princip federace služeb Motivace: služby pro vlastní uživatele (identity management, HR systém) externisty (odlišné možnosti) Hostovská konta správa kont a hesel (počty, řídký přístup) ověřování totožnosti (vzdálený přístup, cizí subjekty) životní cyklus identity (ukončení vztahu) Federativní model a role ve federaci poskytovatel identit (garantuje uživatele) poskytovatel služeb (garantuje službu) operátor federace (garantuje pravidla a integrační podporu) Vzájemná důvěra

18 Education roaming bezpečný přístup k síti pro R&E hlavně v prostorech členských organizací Historie vznik 2002, Holadsko, SURFNet, TERENA v současnosti většina Evropy, část světa (nejde o plošné pokrytí) Princip reciprocity organizace poskytuje konektivitu i hostům organizace ověřuje své uživatele Technické provedení hierarchická struktura RADIUS serverů autentizace je vždy prováděna v domovské organizaci uživatele Pokrytí (mapky)

19 eduroam v ČR

20 eduroam ve světě

21 eduid.cz Česká akademická federace identit poskytuje jednotné prostředí pro přístup k síťovým (hlavně webovým aplikacím) výhody uživatel používá pouze jedno heslo pro přístup k více aplikacím správci aplikací nepotřebují autentizační data uživatelů autentizace uživatele probíhá vždy u domovské organizace bezpečný způsob výměny informací o uživatelích technologie založena na projektu Shibboleth (implementace SAML protokolu)

22 eduid.cz služby Členové (poskytovatelé identit) vysoké školy a univerzity ústavy AV knihovny střední a vyšší odborné školy Dostupné služby CESNET služby e infrastruktury (úložiště, výpočty, videokonference, podpora projektových týmů) knihovní služby elektronické informační zdroje Vazba do mezinárodních federací (edugain)

23 Zvídavé otázky Proč dvojí ověření/dvě federace historické i technické důvody rozdílné úrovně ověření moje zařízení moje osoba Proč edu* v počátcích jen pro R&E rozvoj služeb a posun k dalším subjektům politiky federací reagují na potřeby členů rozšíření eduroam x govroam

24 Federovaná střední škola Předpoklady: společné IT řešení zřizovatele Radius Shibboleth podpora AAI systémů škol lokální IdM systém vazba na školní agendy (bakaláři, školní login, škola on line ) HR systém zřizovatele existující konektivita a wifi prostředí

25 Federovaná střední škola 2 Dostupné služby: eduroam v mateřské instituci na cestách (nádraží, veřejné prostory) v partnerských organizacích (univerzity) eduid.cz služby CESNET pro širší komunitu elektronické informační zdroje, knihovny přístup do administrativních aplikací zřizovatele, ministerstva ověření do aplikaci partnerů (univerzity, středoškolské soutěže,...)

26 CESNET pro Vás : ) Připojení do e infrastruktury Přístup ke špičkovým službám (nejen) v oblasti bezpečnosti Soulad se Zákonem o kybernetické bezpečnosti (ZKB) Individuální přístup

27 Děkujeme za pozornost. Andrea Kropáčová, Jiří Bořík,

28 Kontakty komunikace o službách poskytovaných sdružením CESNET info@cesnet.cz obecný komunikační kanál support@cesnet.cz kontakt na Pracoviště stálé služby (dohledové centrum) pro hlášení a řešení provozních problémů