Závěrečná zpráva projektu 475/2013 Fondu rozvoje CESNET

Podobné dokumenty
Ing. Petr Benedikt Západočeská univerzita v Plzni Centrum informatizace a výpočetní techniky 5.

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Rozvoj IDS s podporou IPv6

APS Key.Reader. Program pro komunikaci s moduly systému APS Key. Uživatelská příručka

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

Univerzita Karlova, Ústav výpočetní techniky Ovocný trh 560/5, Praha 1. OPATŘENÍ ŘEDITELE č. 1/2018. Organizační struktura Ústavu výpočetní techniky

LINUX - INSTALACE & KONFIGURACE

Integrace datových služeb vědecko-výukové skupiny

Vzdálená správa v cloudu až pro 250 počítačů

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Instalace a konfigurace

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text.

A p a c h e h t t p d Lukáš Zapletal lukas.zapletal@liberix.cz

Technická specifikace

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Případová studie: Adresářové řešení pro webhosting pomocí ApacheDS. Lukáš Jelínek

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

UniSPIS Oboustranné rozhraní RŽP na e-spis

Bezpečnost webových stránek

Čl. 1. Základní ustanovení

Rada města Přerova. Předloha pro 4. schůzi Rady města Přerova, která se uskuteční dne

Střední odborná škola a Střední odborné učiliště, Hořovice

Správa stanic a uživatelského desktopu

Verze 1.x 2.x 3.x 4.x 5.x. X X X X uživatelům (správcům) systému Řazení dat v přehledech podle jednotlivých sloupců

Podpora šifrovaného spojení HTTPS

Popis Vládního CERT České republiky

Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC

1.1 DATUM POSLEDNÍ AKTUALIZACE Toto je verze číslo 1 ze dne

POPIS TECHNICKÉHO ŘEŠENÍ INFORMAČNÍHO SYSTÉMU PRO SBĚR DAT V PROJEKTU SLEDOVÁNÍ DEKUBITŮ JAKO INDIKÁTORU KVALITY OŠETŘOVATELSKÉ PÉČE NA NÁRODNÍ ÚROVNI

ŠKOLENÍ PROGRAMOVACÍHO JAZYKA JAVA JAVA - ZÁKLADY

POPIS CSIRT. Státní pokladna Centrum sdílených služeb, s. p. Vlastník dokumentu: Datum poslední aktualizace:

Střední odborná škola a Střední odborné učiliště, Hořovice

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Technické podmínky a doporučení provozu OneSoftConnect na infrastruktuře zákazníka

Správa zařízení Scan Station Pro 550 a Servisní nástroje zařízení Scan Station

Mobilita a roaming v sítích národního výzkumu. Jan.Furman@CESNET.CZ

Tato zpráva informuje o implementaci LMS (Learning Management Systém) Moodle konkrétně Moodle

Digital Identity Management

Zákon o kybernetické bezpečnosti

BRICSCAD V15. Licencování

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Kalendář kurzů. Linux. SUSE Linux Databáze

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Vytvoření portálu odboru strukturálních fondů Ministerstva vnitra a zajištění jeho hostingu na serveru dodavatele

Obsah. Rozdíly mezi systémy Joomla 1.0 a Systém Joomla coby jednička online komunity...16 Shrnutí...16

Vyšší odborná škola a Střední průmyslová škola, Šumperk, Gen. Krátkého 1

Desktop systémy Microsoft Windows

Shibboleth v systému DSpace

Desktop systémy Microsoft Windows

Základní informace a postup instalace systému ISAO

Zákon o kybernetické bezpečnosti: kdo je připraven?

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

Zranitelnost databáze a ochrana vašich citlivých dat. Michal Lukanič, Database Specialist

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

Závěrečná zpráva projektu FR CESNET 468R1/2012. Optimalizace správy síťových aplikací a zařízení AMU

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

NOVELL AUTORIZOVANÉ ŠKOLICÍ STŘEDISKO. v rámci celosvětového programu Novell Academic Training Partners (NATP) Ing. Marek Ťapťuch

INSTALACE SOFTWARE A AKTIVACE PRODUKTU NÁVOD

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

MetaCentrum. Miroslav Ruda. listopad 2013 CESNET

Provedení penetračních testů pen-cypherfix2016

Představení služeb. Dlouholetá zkušenost. Velká uživatelská základna

Nejčastější podvody a útoky na Internetu. Pavel Bašta

Uživatelský modul. Transparent Mode

Mobilita a roaming Možnosti připojení

Řešení pro správu klientů a mobilní tisk

Příručka nastavení funkcí snímání

Jak být online a ušetřit? Ing. Ondřej Helar

Optimalizaci aplikací. Ing. Martin Pavlica

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Instalace a konfigurace web serveru. WA1 Martin Klíma

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Datová úložiště v MetaCentru a okolí. David Antoš

HelpDesk. Co je HelpDesk? Komu je aplikace určena? Co vám přinese?

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Konfigurace pracovní stanice pro ISOP-Centrum verze

VITA A ISZR ŠKOLENÍ INFORMATIKŮ

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Systém Přenos verze 3.0

Úvodem 9. Zpětná vazba od čtenářů 10 Zdrojové kódy ke knize 10 Errata 10. Než začneme 11

VYHLÁŠENÍ A ZÁSADY PRO PODPORU STUDENTSKÝCH VĚDECKÝCH KONFERENCÍ PRO ROK 2011

Bezpečností politiky a pravidla

WORKWATCH ON-LINE EVIDENCE PRÁCE A ZAKÁZEK

WEBFILTR živě. přímo na svém počítači. Vyzkoušejte KERNUN CLEAR WEB. Připojte se přes veřejně dostupnou WiFi síť KERNUN.

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Konsolidace zálohování a archivace dat

APS Web Panel. Rozšiřující webový modul pro APS Administrator. Webové rozhraní pro vybrané funkce programového balíku APS Administrator

Datová úložiště v MetaCentru a okolí II. David Antoš Oddělení datových úložišť

Nastavení klientských stanic pro webové aplikace PilsCom s.r.o.

Informace o zaměstnancích v insolvenčním řízení v aplikaci KS mzdy

Instalace webové služby Mydlinka

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Nová áplikáce etesty Př í přává PC ž ádátele

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Koncept centrálního monitoringu a IP správy sítě

MATLABLINK - VZDÁLENÉ OVLÁDÁNÍ A MONITOROVÁNÍ TECHNOLOGICKÝCH PROCESŮ

Transkript:

Zvýšení bezpečnosti webhostingu Závěrečná zpráva projektu 475/2013 Fondu rozvoje CESNET Petr Benedikt Západočeská univerzita v Plzni Centrum informatizace a výpočetní techniky e-mail: ben@civ.zcu.cz 19. února 2015

Závěrečná zpráva projektu Fondu rozvoje CESNET, z. s. p. o. pro rok 2013 vedeného pod číslem 475/2013. Projekt je zařazen do oblasti I, tématického okruhu A, písmeno c) (podporu nových postupů na odhalování, řešení a prevenci bezpečnostních incidentů, podporu bezpečnostních týmů CERT/ CSIRT a budování jejich zázemí, sledování a vyhodnocování provozu sítě a služeb, a zapojení uživatele do budování bezpečnosti provozovaných sítí a služeb). 1 Struktura dokumentu Struktura tohoto dokumentu je v souladu s podklady pro závěrečné oponentní řízení Fondu rozvoje CESNET, z. s. p. o. rozčleněna následujícím způsobem. Způsob řešení Dosažené cíle Zdůvodnění změn v projektu Konkrétní výstupy Přínosy projektu Tisková zpráva Výkaz hospodaření s prostředky poskytnutými projektu z fondu 2 Způsob řešení V rámci projektu se řešitel zůčastnil školení SANS SEC506: Securing Linux/Unix, které pomohlo rozšířit povědomí o potřebách pro zabezpečení linuxových serverů. Na základě těchto znalostí byly prozkoumány konfigurační možnosti linuxového serveru pro potřeby webhostingu. Z rozpočtu projektu byl pořízen server, na kterém byl zprovozněn operační systém Debian, a na něm bylo otestováno zvolené řešení. 3 Dosažené cíle Díky školení SANS SEC506: Securing Linux/Unix prohloubil řešitel své znalosti v oblasti bezpečnosti linuxových strojů a získal certifikát GCUX (GIAC 1

Certified Unix Security Administrator). Tyto znalosti aplikoval při přípravě nové konfigurace webhostingového serveru. Z důvodu vhodného napojení na ostatní systémy provozované v rámci infrastruktury ZČU v Plzni bylo vyžadováno zachování přístupu k distribuovanému souborovému systému AFS a podpora autentizace prostřednictvím systému WebAuth ze Stanfordské univerzity. Hlavní body provedené v rámci řešení projektu lze shrnout do následujících bodů: Minimalizace operačního systému Debian Změna způsobu přístupu k distribuovanému souborovému systému AFS Kontrola zápisových práv do souborového systému a omezení spouštění skriptů z těchto míst Izolace jednotlivých webových projektů provozovaných na serveru Automatizace instalace bezpečnostních záplat použitého software Trvalé vynucení provozu zabezpečeným protokolem HTTPS Napojení na centrální logovací infrastrukturu Sledování zpráv týkající se bezpečnosti linuxových serverů 3.1 Minimalizace operačního systému Debian Bylo využito stávajícího systému FAI pro instalaci opearčního systému Debian, které plně dostačuje požadavkům na bezpečnost připravovaného systému, a nebylo nutné do základní instalaci dělat další zásahy. 3.2 Změna způsobu přístupu k distribuovanému souborovému systému AFS Pro přístup k AFS je využíváno systému Kerberos. Původní řešení spočívalo v namapování celé větvě souborového systému na serveru na základě IP adresy stroje. Toto řešení bylo nedostatečné, zde proto došlo ke změně. Aktuálně má každý webový projekt generovánu vlastní Kerberos identitu, prostřednictvím které může přistupovat na souborový systém. Pro nastavení identity jednotlivým webům je nutné využít modulu mod waklog. 1 1 http://www.modwaklog.org/ 2

3.3 Kontrola zápisových práv do souborového systému a omezení spouštění skriptů z těchto míst Webové projekty, které mají možnost vkládání souborů do souborového systému a nemají dostatečně ošetřené vstupy, mohou být zranitelné. Útočník může do složky nahrát skript se škodlivým kódem a z daného umístění jej pustit. Tomuto se snažíme zabránit vypnutím podpory PHP v těchto složkách. Pro tyto účely jsme připravili skript, který prohledává složky webových projektů na AFS a v případě nalezení zápisových práv ve složce zakáže spouštění skriptů v jazyce PHP. 3.4 Izolace jednotlivých webových projektů provozovaných na serveru Pro izolaci jednotlivých webů jsme využili forkování instance webového serveru Apache. Tato možnost je dostupná jako součást instalace Apache. Pomocí skriptu /usr/share/doc/apache2.2-common/examples/setup-instance je možné vytvářet nové instance programu Apache. Následně je také vhodné vytvořit vlastní úživatelský účet v systému Linux, pod kterým bude instance spuštěna. Tím se docílí izolace přístupu ke Kerberos identitě uložené lokálně na serveru. Forkováním instancí Apache je nutné také vyřešit přístup k těmto webům, jelikož na serveru nemůže současně běžet více programů na stejném portu, tedy na portu 80 resp. 443. Z toho důvodu je nutné jednotlivé instance provozovat na odlišných portech a na základních portech je provozována hlavní instance Apache, která má funkci proxy serveru, který zprostředkuje přístup k lokálním portům. 3.5 Automatizace instalace bezpečnostních záplat použitého software Tato změna se týká způsobu instalace bezpečnostních balíčků a je spíše volitelná, protože instalace nových balíků může mít vliv na provoz samotného webu. Uvažovány byly nástroje pro automatickou instalaci balíků i nástroje pro pravidelné sledování změn instalovaných balíků s upozorněním v případě, že bude k dispozici aktualizace. 3

3.6 Trvalé vynucení provozu zabezpečeným protokolem HTTPS Jeden z aspektů bezpečnosti webových projektů spočívá také v zajištění bezpečnosti dat při přenosu mezi serverem a uživatelem. Z toho důvodu jsme také zavedli politiku využití pouze HTTPS přenosu. S tím jsou také spojeny změny v podpoře šifrovacích metod. V návaznosti na nedávné zprávy o zranitelnosti v šifrovacím protokolu SSL tzv. Poodle útokem jsme přestali podporovat SSLv3 a primárně využíváme TLSv1. 3.7 Napojení na centrální logovací infrastrukturu Infrastruktura pro centrální logování je na ZČU již vybudovánu. Nový server byl do této infrastruktury zapojen. Podrobnosti tohoto připojení nejsou obsahem této práce. 3.8 Sledování zpráv týkající se bezpečnosti linuxových serverů Pro zvýšení povědomí o aktuálních bezpečnostních hrozbách využívají správci webhostingových serverů na ZČU několik zdrojů. Hlavní zdrojem informací je bezpečnostní skupina na oddělení CIV, která upozorňuje pracovníky ZČU použitím interních kanálů na možná bezpečnostní rizika. Dále správci sledují zprávy z mailing listů distribuce Debian a odebírají zprávy z newsletteru SANS Newsbites. 4 Zdůvodnění změn v projektu V průběhu řešení byla schválena změna v rozpočtu z důvodu zrušení původně plánovaného školení od firmy SANS. Školení bylo následně absolvováno prostřednictvím e-learningového kurzu, nebyly proto nutné výdaje za zahraniční cestovné. Tím bylo nutné přehodnotit stávající stav rozpočtu, aby byly splněny požadavky na finanční spoluúčast. Dále bylo schváleno prodloužení projektu z původních 12 měsíců na 18 měsíců. O prodloužení bylo žádáno kvůli zdržení výběrového řízení pro nákup serverů, které znemožnilo včasné testování řešení. 4

5 Konkrétní výstupy Výsledky projektu jsou využívány ve výpočetním prostředí Západočeské univerzity. Projekt umožnil získat poznatky vedoucí ke zlepšení provozovaných služeb webhostingových serverů. Technická dokumentace s podrobným popisem změn je k dispozici na webových stránkách řešitelské organizace na adrese [1]. V technické dokumentaci jsou popsány provedené změny a přiloženy ukázky z konfiguračních souborů. Kompletní balík konfiguračních souborů bude zájemcům z řad členů sdružení CESNET k dispozici na vyžádání. Popis nového řešení bude prezentován pro zaměstance a lokální správce na ZČU v rámci semináře CIV pořádaného v březnu 2015. Informace o pořádané akci a materiály k semináři budou dostupné na adrese [2]. 6 Přínosy projektu Projekt přispěl ke zlepšení bezpečnosti webhostingových serverů. V rámci projektu byl také zakoupen nový stroj, který bude sloužit pro poskytování webhostingových služeb. 7 Tisková zpráva Díky finanční podpoře Fondu rozvoje sdružení CESNET, z. s. p. o. byla upravena koncepce webhostingových serverů na ZČU v Plzni. Projekt umožnil získat nové poznatky v bezpečnosti webových serverů a tyto poznatky aplikovat a připravit konfigurační změny pro zvýšení bezpečnosti webhostingových serverů. 8 Výkaz hospodaření Na projektu se podílely dva subjekty, a to Fond rozvoje CESNET a ZČU. Z prostředků fondu rozvoje bylo hrazeno plánovaných 94 tisíc za školení a certifikaci SANS. Z prostředků fondu rozvoje se ještě očekává vyplacení 75 tisíc na odměny řešitelům, které budou vyplaceny po obhájení projektu. Západočeská univerzita v Plzni hradila jako spoluúčast nositele dlouhodobý hmotný majetek v podobě serveru v celkové hodnotě 88 tisíc a režijní náklady ve výši 30 tisíc. Celkové náklady na školení a certifikaci SANS převýšili předpokládanou hodnotu o 18 tisíc a cena stroje převýšila předpokládanou 5

cenu o 13 tisíc. Tuto částku zaplatil nositel a v závěrečné rekapitulaci není započtena do jeho spoluúčasti. Položka cena hrazeno z 1x server 88 000,- Kč ZČU školení a certifikát SANS 94 000,- Kč CESNET odměny řešitelům 75 000,- Kč CESNET režie a cestovné 30 163,- Kč ZČU Celkem 274 163,- Kč Tabulka 1: Náklady spojené s řešením projektu Celkové náklady Fondu rozvoje CESNET byly 169 000,- Kč a náklady na straně ZČU byly 105 163,- Kč. Spoluúčast ZČU na projektu byla 38,4%. Odkazy [1] Stránka s elektronickými zdroji projektu http://support.zcu.cz/index.php/lps:webhosting [2] Seminář CIV http://seminar.civ.zcu.cz V Plzni dne 19. února 2015 Ing. Petr BENEDIKT hlavní řešitel projektu 6

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář