Ing. Petr Benedikt Západočeská univerzita v Plzni Centrum informatizace a výpočetní techniky 5.

Podobné dokumenty
Závěrečná zpráva projektu 475/2013 Fondu rozvoje CESNET

Rozvoj IDS s podporou IPv6

Konsolidace zálohování a archivace dat

Univerzita Karlova, Ústav výpočetní techniky Ovocný trh 560/5, Praha 1. OPATŘENÍ ŘEDITELE č. 1/2018. Organizační struktura Ústavu výpočetní techniky

Cloudy a gridy v národní einfrastruktuře

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

CERIT SCIENTIFIC CLOUD. Centrum CERIT-SC. Luděk Matyska. Praha, Seminář MetaCentra,

MetaCentrum. Tomáš Rebok MetaCentrum NGI, CESNET z.s.p.o. CERIT-SC, Masarykova Univerzita Olomouc,

Martin Kuba, Daniel Kouřil seminář řešitelů, Žďár n.s. 1

Představení e-infrastruktury CESNET Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o.

Integrace datových služeb vědecko-výukové skupiny

Zabezpečený elektronický dokument v prostředí VŠ

MetaCentrum - Virtualizace a její použití

LINUX - INSTALACE & KONFIGURACE

SUPERPOČÍTAČOVÉ CENTRUM. Luděk Matyska

ZAHÁJENÍ STUDIA INFORMACE PRO STUDENTY PRVNÍCH ROČNÍKŮ

JSEM ELEKTRONICKÁ IDENTITA. VĚŘÍTE MI? Jiří Bořík CESNET Olomouc

Výpočetní zdroje v MetaCentru a jejich využití

ZAHÁJENÍ STUDIA INFORMACE PRO STUDENTY PRVNÍCH ROČNÍKŮ

ŠKOLENÍ PROGRAMOVACÍHO JAZYKA JAVA JAVA - ZÁKLADY

Gridy v České republice. Luděk Matyska Masarykova univerzita v Brně CESNET, z.s.p.o.

METACentrum Český národní gridovýprojekt. Projekt METACentrum. Jan Kmuníček ÚVT MU & CESNET. meta.cesnet.cz

CESNET. Národní e-infrastruktura. Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o.

NOVELL AUTORIZOVANÉ ŠKOLICÍ STŘEDISKO. v rámci celosvětového programu Novell Academic Training Partners (NATP) Ing. Marek Ťapťuch

Virtualizace síťových prvků

DODATEČNÉ INFORMACE Č

MetaCentrum. Martin Kuba CESNET

Čl. 1. Základní ustanovení

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Je virtualizace vhodná i pro Vás?

Interní grantová agentura vysokoškolského ústavu Institutu celoživotního vzdělávání Mendelovy univerzity v Brně (IGA ICV MENDELU)

INFORMACE PRO STUDENTY PRVNÍCH ROČNÍKŮ

Přechod na virtuální infrastrukturu

Příloha B) Pravidla způsobilosti výdajů pro výzvu 2.1 Posílení výzkumných kapacit VaV center

ELEKTRO - IT TECHNIK (vhodné i pro absolventy)

Czech National e-infrastructure. Projekt MetaCentrum. Jan Kmuníček CESNET. meta.cesnet.cz

Nabídka školení infrastruktura webová řešení marketing

Výzva na podání nabídek na veřejnou zakázku malého rozsahu

Vymezení způsobilých výdajů II. výzva programu Spolupráce Klastry

ODŮVODNĚNÍ VEŘEJNÉ ZAKÁZKY

Virtualizace jako nástroj snížení nákladů. Periodické opakování nákladů nové verze Licence na pevný počet klientů

Počítačová síť ve škole a rizika jejího provozu

Správce IT pro malé a střední organizace

Tomáš Fronk. Správa sítě, serverů a pc / Vývoj SW 36 let

Odůvodnění účelnosti veřejné zakázky Vybudování a ověřovací provoz systému Cyber Threat Intelligence

Technologické centrum Nového Města na Moravě. Zbyněk Grepl, Radka Šoustarová, Město Nové Město na Moravě Mgr. Tomáš Lechner, Triada, spol. s r. o.

Novinky z vývoje v MetaCentru

MetaCentrum. Miroslav Ruda. Skalský Dvůr, Miroslav Ruda (MetaCentrum) MetaCentrum Skalský Dvůr, / 11

Projekt implementace OS Linux do výuky informačních technologií

MetaCentrum. Miroslav Ruda. listopad 2013 CESNET

Sportovní soukromá základní škola Litvínov s.r.o. Podkrušnohorská 1677, Litvínov,

Ostravská univerzita v Ostravě

MetaCentrum. Martin Kuba CESNET

Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC

Projekt EGEE / EGI. Jan Kmuníček CESNET. Enabling Grids for E-sciencE. EGEE-III INFSO-RI

Optická gigabitová páteř univerzitní sítě má kruhovou topologii s uzly tvořící dva kruhy propojenými v následujícím pořadí:

Centra informatizace a výpočetní techniky

PORTÁL STÁTNÍ ROSTLINOLÉKAŘSKÉ SPRÁVY VE SLUŽBÁCH

METACentrum zastřešení českých gridových aktivit

Služby e-infrastruktury CESNET. Tomáš Košňar CESNET z. s. p. o.

Počítačová síť Katedry informatiky UP v Olomouci

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Program OPPIK Služby infrastruktury

Fond Vysočiny GP Informační a komunikační technologie Martina Rojková

Petrov, v. o. s. Masarykova univerzita. Inovace systému pro správu prodejních automatů

Informace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. 18

INFORMACE PRO STUDENTY PRVNÍCH ROČNÍKŮ

IPv6 v CESNETu a v prostředí akademických sítí

Výzva k předložení nabídky a prokázání kvalifikace. Počítačové kurzy pro servisní techniky

MetaCentrum a náro (nejen matematické) výpočty

Strategie sdružení CESNET v oblasti bezpečnosti

Výnos děkanky FF UHK č. 3/2016

Česká společnost uživatelů otevřených systémů EurOpen.CZ Czech Open System Users Group konference

IX. Rozpočet projektu

IRP 2018 závěrečný seminář

Virtualizace serverů v ČSOB

EU EGEE Presentace projektu

PŘÍLOHA č. 1n) příruček pro žadatele a příjemce OP VaVpI. Pravidla způsobilosti výdajů pro prioritní osu 1 a 2 OP VaVpI, číslo výzvy 2.

Žádost zpracoval vedoucí oddělení ICT

Tabulka Nabídková cena za předmět plnění *uchazeč vyplní cenu za celý kurz nebo cenu za 1 účastníka dle zadávací dokumentace a nabídky uchazeče

POŘÍZENÍ A IMPLEMENTACE INFORMAČNÍCH SYSTÉMŮ

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Distribuovaná virtuální laboratoř počítačových sítí

VYHLÁŠENÍ A ZÁSADY PRO PODPORU STUDENTSKÝCH VĚDECKÝCH KONFERENCÍ PRO ROK 2016

Czech National e-infrastructure. Projekt MetaCentrum. Jan Kmuníček CESNET. meta.cesnet.cz

Cíle a měřitelné parametry budování a provozu egc. Příloha č. 1 Souhrnné analytické zprávy

MĚSTSKÝ ROK INFORMATIKY - ZKUŠENOSTI S NASAZENÍM STANDARDNÍCH APLIKAČNÍCH ŘEŠENÍ V PROSTŘEDÍ STATUTÁRNÍHO MĚSTA LIBEREC

Elektronická podatelna a výpravna České správy sociálního zabezpečení v návaznosti na systém datových schránek

Fond rozvoje vysokých škol Tématický okruh G

VYHLÁŠENÍ A ZÁSADY PRO PODPORU STUDENTSKÝCH VĚDECKÝCH KONFERENCÍ PRO ROK 2011

KYBERNETICKÁ BEZPEČNOST V ORGANIZACÍCH

DIGITÁLNÍ IDENTITY. Jiří Bořík CESNET. konference e-infrastruktury CESNET 2019 Praha

Řešení počítačové sítě na škole

Zajištění rozvoje komunikační a systémové infrastruktury MPSV_I.

Historie, současnost a budoucnost sdružení CESNET. Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o Praha

CERIT-SC reloaded. už se všichni těšíme. Seminář gridového počítání,

Datová úložiště CESNET. David Antoš

Dotační možnosti pro neziskové organizace a školská zařízení z OP VK

PROBLEMATIKA INFORMATIKY V OBCÍCH LIBERECKÉHO KRAJE

Transkript:

Zvýšení bezpečnosti webhostingu Ing. Petr Benedikt Západočeská univerzita v Plzni Centrum informatizace a výpočetní techniky e-mail: ben@civ.zcu.cz 5. března 2013 Abstrakt Předkládaný projekt se zabývá zvýšením bezpečnosti webhostingových serverů na Západočeské univerzitě v Plzni. Webhosting je nejexponovanější službou v organizaci, přes kterou bývá aktuálně vedeno největší množství útoků. Aktuální stav, který byl adekvátní situaci před několika lety, je již z hlediska bezpečnosti nedostačující. Cílem projektu je zajistit izolaci webhostingových projektů tak, aby zranitelnost jednoho nemohla ohrozit provoz ostatních služeb. Projekt je zařazen do oblasti I, tématického okruhu A, písmeno c) (podporu nových postupů na odhalování, řešení a prevenci bezpečnostních incidentů, podporu bezpečnostních týmů CERT/CSIRT a budování jejich zázemí, sledování a vyhodnocování provozu sítě a služeb, a zapojení uživatele do budování bezpečnosti provozovaných sítí a služeb). 1 Současný stav řešeného problému Západočeská univerzita v Plzni v současné době provozuje několik webhostingových serverů hostujících více než 400 webových projektů. Tato aktuálně provozovaná koncepce vznikla před více než 10 lety, kdy nároky na webhostingový server byly jiné než nyní. V době vzniku webhostingových serverů se předpokládalo, že k webovým projektům bude přistupovat webmaster znalý použitých technologíí a dokáže je bezpečně provozovat a udržovat. Postupem času s příchodem různých redakčních systémů se však okruh uživatelů webhostingových služeb rozšířil a začali vznikat různorodé webové projekty provozované na těchto redakčních systémech. Jejich správci často nemají příliš velkou znalost použitých programovacích metod, pouze dokaží provést instalaci a úpravu obsahu webu dle návodu a často opomenou bezpečnostní hledisko. Tímto způsobem se zvyšuje riziko bezpečnostních problémů, např. ponechání výchozího hesla do administrativní části redakčního systému, nevhodně nastavená přístupová práva k souborovému systému, neaktuálnost redakčního systému. Tyto a mnoho dalších příčin mohou vést ke kompromitaci 1

dat a v některých případech i celého webhostingu. V posledních měsících jsme také zaznamenali několik bezpečnostních incidentů na některých webových projektech a v jednom případě tento útok způsobil nedostupnost celého serveru. To znamenalo několika hodinový výpadek na těchto službách. Webhosting je vysoce exponovaná služba, která často bývá terčem útoků, proto je nutné změnit stávající nedostatečný stav, který byl přiměřený situaci před několika lety. 2 Cíle řešení Cílem projektu je nalezení vhodného řešení pro izolaci jednotlivých webhostingových projektů. Izolaci je potřeba provést z dvou různých hledisek - zajistit jak izolací výkonovou, tzn., že problém jednoho webhostingového projektu neohrozí stabilitu ostatních provozovaných služeb, tak i izolaci datového úložiště před možnou kompromitací dat ostatních projektů. Dalším možným krokem je omezení konfiguračních možností jednotlivých webových projektů, které by vedlo k prevenci proti možným pochybením na straně správce webů. 3 Způsob řešení V rámci projektu se prověří možností nástrojů pro izolaci programového vybavení. Z tohoto hlediska je potřeba nahlížet na problém ze dvou stran. Webové projekty bude potřeba izolovat jeden od druhého, aby nedocházelo ke kompromitaci dat ostatních projektů, a zároveň izolovat samotné projekty od systémových prostředků, aby nemohlo dojít k přetížení stroje, pokud bude ohrožen jeden z mnoha webových projektů. V rámci řešení bude provedena analýza možných aktuálních hrozeb a případné nastavení kanálu pro sledování vývoje těchto zranitelností. Základní předpoklad bude využití volně šiřitelného software, proto oblast zkoumaných možností se bude orientovat na prostředky dostupné pro operační systém Linux. Pro zvýšení bezpečnosti webového serveru je potřeba na problém nahlédnout z globálního hlediska. V podstatě se jedná o server s operačním systémem Linux a s aplikací Apache, která zajišt uje zprostředkování webového obsahu uživatelům. Abychom mohli řešit bezpečnost serveru, je potřeba nejprve rozumně zabezpečit operační systém a následně se zabývat zabezpečením na úrovni aplikace Apache. V rámci projektu absolvuje hlavní řešitel školení SEC506: Securing Linux/Unix od společnosti SANS, které je zaměřeno na komplexní zabezpečení celého stroje s OS Linux/Unix. Část školení se samozřejmě také zabývá zabezpečením webového serveru Apache. Dalším úkolem bude provést analýzu dostupných virtualizačních metod, které jsou vhodné pro provoz webového serveru. Mezi uvažované metody virtualizace (či kontejnerování) patří např. chroot, LXC, OpenVZ apod. Po provedení analýzy dostupných metod zvolíme nejvhodnější prostředky, které budou vhodné pro nasazení v prostředí organizace. Zvolené prostředky budeme následně prakticky 2

testovat na testovacím zařízení. Po instalaci prostředí provedeme nasazení několika prázdných webových projektů, obsahující některé známé zranitelnosti, na nich pak provedeme vybrané testy popsané v bezpečnostní příručce vydané nadací OWASP, která se zabývá zranitelnostmi a prevencí zranitelností webových aplikací. Na základě provedených testů různých konfigurací webového serveru zvolíme vhodnou konfiguraci, kterou aplikujeme do ostrého provozu a začneme rekonfigurovat stavající webhostingové servery na nové řešení. 4 Prezentace výsledků Odborné materiály, získané poznatky, použitá řešení a výsledky související s řešením projektu budou zájemcům dostupné v elektronické formě prostřednictvím webových stránek CIV, ZČU v Plzni. Výsledky analýzy, testování prostředků pro izolaci prostředí webhostingových projektů a prostředků zvolených při implementaci budeme prezentovat v rámci semináře pořádaného CIV při ZČU v Plzni a také na semináři CESNET pro správce systémů. Výsledky tedy mohou být k užitku všem členům sdružení. 5 Charakteristika řešitelského týmu Ing. Petr Benedikt (hlavní řešitel) je absolventem Fakulty elektrotechnické Západočeské univerzity v Plzni v oboru Sdělovací a zabezpečovací technika. V letech 2010-2012 pracoval při studiích jako člen týmu HELPS - technická podpora pro zaměstnance při CIV, ZČU. Od roku 2012 pracuje v oddělení Internet a sít ové služby Laboratoře počítačových systémů při CIV, ZČU jako správce systému. E-mail: ben@civ.zcu.cz, tel.: +420 377 632 870. Ing. Michal Švamberg (spoluřešitel) je absolventem Fakulty Aplikovaných věd Západočeské univerzity v Plzni v oboru Distribuované systémy. Od roku 2002 pracuje v Laboratoři počítačových systémů (LPS) Centra informatizace a výpočetní techniky (CIV), kde se účastnil návrhu a budování kolejních sítí Západočeské univerzity. Dále se zabývá správou operačního systému Linux a jeho integrací do distribuovaného výpočetního prostředí Orion. Spravuje také FibreChannel infrastrukturu, distribuovaný souborový systém AFS a XEN virtuální stroje. Na ZČU působí jako instruktor v certifikačních programech CCNA a CCNP 1. Pro CESNET z.s.p.o. se podílí 1 Jedná se o kurzy z Cisco Networking Academy Program, více viz http://www.netacad.cz/. 3

na správě výpočetních clusterů jako řešitel výzkumného záměru projekt MetaCentrum národní gridové a superpočítačové infrastruktury. E-mail: svamberg@civ.zcu.cz, tel.: +420 377 632 833. 6 Navrhovaná doba trvání projektu Navrhovaná doba řešení projektu je 12 měsíců. 7 Finanční rozvaha Pro projekt jsou požadovány náklady na testovací server, prostředky pro absolvování školení SEC506: Securing Linux/Unix od společnosti SANS a náklady na mzdy pracovníků. Předpokládaná cena testovacího serveru je 75 000,- Kč bez DPH, tj. 90 750,- Kč s DPH. Cena testovacího serveru byla stanovena na základě již proběhlých výběrových řízení s ohledem na požadované potřeby tohoto projektu. Koncová konfigurace vzejde z výběrového řízení pořádaného ZČU. Server a náklady spojené s jeho pořízením bude hrazeno z finančních zdrojů řešitelské organizace. Cena školení SEC506 je stanovena na 3 412e a poplatek za certifikaci v rámci kurzu je 499e. Při uvažovaném kurzu měny 1e = 25,4 Kč ke dni 20.2.2013 je cena školení odhadována na 86 665,- Kč a náklady na certifikaci 12 675,- Kč. Tato cena zahrnuje pouze poplatky za absolvování školení, nejsou zde zahrnuty náklady spojené s dopravou, ubytováním a stravného. Náklady s tímto spojené byly stanoveny na 32 789,- Kč, tj. 6 500,- Kč na dopravu, 18 288,- Kč na ubytování, při uvažované ceně 720e za 6 nocí v hotelovém pokoji v místě konání, a 8 001,- Kč na stravné, určené z hodnoty 45e na stravné na den a délce konání školení 7 dní. Cena školení bude hrazena z fondu rozvoje, náklady na certifikaci a ubytování/dopravu/stravné budou hrazeny řešitelskou organizací. Ve finančních prostředcích projektu jsou také zahrnuty příspěvky na mzdy řešitelů. Částka 75 000,- Kč na mzdy (včetně sociálního a zdravotního pojištění) odpovídá 30 člověkodní práce, které budou využity na instalaci HW, instalaci a testování vybraného programového vybavení, programátorské úpravy a testování bezpečnosti instalovaného řešení. Z uvedené částky je 55 556,- Kč vyhrazeno na mzdy a 19 444,- Kč na sociální a zdravotní pojištění. Prostředky na mzdy budou hrazeny z fondu rozvoje. Režie, tj. 15% z celkové části neinvestičních zdrojů bude hrazeno z fondu rozvoje. Celková částka na pokrytí nákladů spojených s řešením projektu byla stanovena podle propozic uvedených v tabulce 1. Míra spoluúčasti ve financování řešitelskou organizací je 37,80%. Případné vícenáklady spojené s řešením projektu jdou na vrub řešitelské organizace. 4

Položka cena hradí CESNET ZČU Server 75 000,- Kč ZČU 75 000,- Kč Mzdy 75 000,- Kč CESNET 75 000,- Kč Školení SEC506 86 665,- Kč CESNET 86 665,- Kč Certifikát GCUX 12 675,- Kč ZČU 12 675,- Kč Výlohy na školení 32 789,- Kč ZČU 32 789,- Kč Režie 15% 36 552,- Kč CESNET 36 552,- Kč Celkem 198 217,- Kč 120 464,- Kč Tabulka 1: Náklady spojené s řešením projektu 5

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář