CESNET Day AV ČR. bezpečnostní služby & infrastrukturní služby

Podobné dokumenty
Bezpečnost aktivně. štěstí přeje připraveným

BEZPEČNOST. Andrea Kropáčová CESNET Praha

CESNET Day. Bezpečnost

Strategie sdružení CESNET v oblasti bezpečnosti

CESNET Day. Bezpečnost

CESNET Day. Bezpečnost

Projekt SABU. Sdílení a analýza bezpečnostních událostí

Projekty a služby sdružení CESNET v oblasti bezpečnosti

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

CESNET. Andrea Kropáčová, CESNET, z. s. p. o. Služby e-infrastruktury CESNET

Seminář o bezpečnosti sítí a služeb

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Efektivní sdílení informací

CESNET & Bezpečnost. CESNET, z. s. p. o. Služby e-infrastruktury CESNET

Mentat, systém pro zpracování informací z bezpečnostních nástrojů. Jan Mach

Služby e-infrastruktury CESNET

Monitorování datových sítí: Dnes

AKTUÁLNÍ KYBERNETICKÉ HROZBY

SÍŤOVÁ INFRASTRUKTURA MONITORING

Flow Monitoring & NBA. Pavel Minařík

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Služby e-infrastruktury CESNET. Tomáš Košňar CESNET z. s. p. o.

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Flow monitoring a NBA

SOC e-infrastruktury CESNET. Andrea Kropáčová CESNET, z. s. p. o.

Role forenzní analýzy

Souhrnný pohled na služby e-infrastruktury CESNET

CESNET, jeho e-infrastruktura a služby

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Koncept BYOD. Jak řešit systémově? Petr Špringl

Václav Bartoš. Meeting projektu SABU , Vranovská ves

Zákon o kybernetické bezpečnosti: kdo je připraven?

Zkušenosti z nasazení a provozu systémů SIEM

FlowMon Monitoring IP provozu

FlowMon Vaše síť pod kontrolou

Co se skrývá v datovém provozu?

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

PB169 Operační systémy a sítě

Kybernetické hrozby - existuje komplexní řešení?

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Služby e-infrastruktury CESNET

Souhrnný pohled na služby e-infrastruktury CESNET

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

Nadpis 1 - Nadpis Security 2

Firewall, IDS a jak dále?

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

Efektivní sdílení informací

Kybernetické hrozby jak detekovat?

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Služby e-infrastruktury CESNET

Služby e-infrastruktury CESNET

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Firewall, IDS a jak dále?

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Technická analýza kyberútoků z března 2013

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

ANECT, SOCA a bezpečnost aplikací

Podvodné zprávy jako cesta k citlivým datům

Phishingové útoky v roce 2014

Datové služby. Písemná zpráva zadavatele

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Network Measurements Analysis (Nemea)

Inteligentní analýza bezpečnostních událostí (iabu)

BEZPEČNOSTNÍ MONITORING SÍTĚ

Koncept. Centrálního monitoringu a IP správy sítě

Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Zpracování dat z bezpečnostních nástrojů

Aktivní bezpečnost sítě

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Co vše přináší viditelnost do počítačové sítě?

Sledování provozu sítě

Souhrnný pohled na služby e-infrastruktury CESNET

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

CESNET. Národní e-infrastruktura. Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o.

JSEM ELEKTRONICKÁ IDENTITA. VĚŘÍTE MI? Jiří Bořík CESNET Olomouc

ANECT & SOCA ANECT Security Day

Koncept centrálního monitoringu a IP správy sítě

Rozvoj IDS s podporou IPv6

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Identifikátor materiálu: ICT-3-03

TSB a kybernetická bezpečnost SMB a jím ovládaných subjektů

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Transkript:

CESNET Day AV ČR bezpečnostní služby & infrastrukturní služby CESNET, z. s. p. o. Služby e-infrastruktury CESNET

Bezpečnost: služby Síťové sondy na perimetru sítě CESNET2 Systémy FTAS a G3 (plošný monitoring) Systémy pro sdílení informací } STaaS (Security Tools as a Service) SIEM systém Bezpečnostní tým CESNET CERTS Forenzní laboratoř CESNET Audit System Antispam Gateway Konzultace a pomoc při návrhu sítě a obrany Asistence při problému Vzdělávání, osvěta, (on demand) školení Pracoviště stálé služby, NOC dohled nad provozem sítě CESNET2 režim 24/7/365 } +420 2 2435 2994 support@cesnet.cz

Sledování provozu Co sledujeme: perimetr sítě, vstup, výstup IP provoz v páteři provoz od nás ven podvrhávání zdrojových adres provoz vybraných prvků infrastruktury (distribuované infrastruktury, např. Datová Úložiště, Gridy) klíčové služby (DSN, AAI) skenování portů, syn flood útoky útoky hrubou silou na ssh, SIP, DNS tunely DNS amplifikace, NTP, SNMP amplifikace anomální datové přenosy, paketové rychlosti... on demand... Informační využití: informace o uskutečněném provozu automatická detekce anomálií on the fly detekce útoků odhalení podvržení adres verifikace, analýza bezpečnostních incidentů vzorky dat, ladění sítě obrana sítě, služeb a uživatelů systematické sledování provozu instituce náhled na provoz sítě zdraví, vytížení sítě architektura sítě, její optimalizace a rozvoj statistiky provozu

Systém pro efektivní sdílení informací typu bezpečnostní událost/incident Z bezpečnostních nástrojů typu IDS, IPS, logy, sondy, honeypoty Client/server architektura (transport, ne naskladnění dat) Komunitní přístup (aka budujme bezpečnost společně ) Tvoje data jsou dostupná celé Warden komunitě Data celé komunity jsou dostupná Tobě Zasílající a odebírající klienti Událost (event) Bezpečnost IDEA formát Kippo, Dionea, f2ban, (filer & knihovna) X509, encryption sanity checks peer review https://idea.cesnet.cz/, https://warden.cesnet.cz

, https://warden.cesnet.cz Systém pro efektivní sdílení informací typu bezpečnostní událost/incident Client/server architektura (transport, ne naskladnění dat) Komunitní přístup (aka budujme bezpečnost společně ) Tvoje data jsou dostupná celé Warden komunitě Data celé komunity jsou dostupná Tobě Zasílající a odebírající klienti Událost (event) Bezpečnost IDEA formát Kippo, Dionea, f2ban, (filer & knihovna) X509 encryption sanity checks peer review https://idea.cesnet.cz/

Produkční datový tok (zasílající klienti) Produkční datový tok (odebírající klienti) Dionea Dionea Kippo Kippo IDS LaBrea NEMEA Syslog Shadow, N6, X2, X4 NSHARP CSIRT.SK VŠB VUTBR FTAS CESNET-CERTS NOC PSS

Z hlediska architektury Warden je Mentat odebírající klient SIEM Skladiště informací Zpracovává data (události) z Warden a od třetích stran (N6, ShadowServer,...) Události rozdělí podle příslušnosti ke koncovým sítím (vytvoří reporty) Reporty zasílá do koncových sítí (abuse@...) Podpůrný nástroj CESNET CERTS a bezpečnostní týmy připojených organizací

S

S Návod co dělat, čeho se report týká

S Návod co dělat, čeho se report týká Strojově zpracovatelný formát přidaný k e mailovému reportu

Z hlediska architektury Warden je Mentat odebírající klient SIEM Skladiště informací Zpracovává data (události) z Warden a od třetích stran (N6, ShadowServer,...) Události rozdělí podle příslušnosti ke koncovým sítím (vytvoří reporty) Reporty zasílá do koncových sítí (abuse@...) Podpůrný nástroj CESNET CERTS a bezpečnostní týmy připojených organizací WWW rozhraní pro správce z koncových sítí Https://mentat hub.cesnet.cz/ Možnost ovlivnit jak a kdy reporty dostávat a co chci dostávat Detaily reportů Globální dahsboardy Statistiky

Negistry umožňuje jemněji škálovat reportování pro velké sítě např. se spojitým adresovým rozsahem /16. inetnum 147.32.1.0 147.32.50.255 remarks netname CVUT-TCZ Report network abuse --> abuse@x.cvut.cz descr Praha 1 remarks Report network abuse --> abuse@x.cvut.cz abuse@p1.cvut.cz inetnum 147.32.60.0 147.32.100.255 netname CVUT-TCZ descr Praha 6 remarks Report network abuse --> abuse@p6.cvut.cz inetnum 147.32.101.0 147.32.150.255 netname CVUT-TCZ descr Praha 10 remarks Report network abuse --> abuse@p10.cvut.cz inetnum 147.32.160.0 147.32.180.255 netname CVUT-TCZ descr Praha 8 remarks Report network abuse --> abuse@p8.cvut.cz inetnum 147.32.200.0 147.32.220.255 netname CVUT-TCZ descr Praha 6 remarks Report network abuse --> abuse@p66.cvut.cz

https://flab.cesnet.cz/ Založena v roce 2011...... jako podpůrné pracoviště pro bezpečnostní tým CESNET CERTS analýza incidentů a hrozeb zvládání incidentů Dnes nabízí komplex služeb analýza bezpečnostního incidentu penetrační testy sítě a služeb zátěžové testy (odolnost proti DoS) sítě a služeb odborná analýza technologie, konzultace, školení

Penetrační testy Cíl: Hledání chyb a zranitelností nikoliv potvrzení bezchybnosti (audit)! Co by mělo být v centru zájmu správců lze infrastrukturu zneužít pro další útoky? lze získat, poškodit, smazat data, systémy, služby? lze získat autentizační údaje uživatelů? existují v prostředí zneužitelné zranitelnosti? kde udělal administrátor chybu při konfiguraci? co by mělo/mohlo být zabezpečeno lépe a efektivněji?...

Penetrační testy Průběh: 1. fáze: zadání: specifikace požadavků, očekávání, rozsahu prací 2. fáze: aktivity v síti zadavatele scan sítě sběr dat testování specifikovaných služeb 3. fáze: následné zpracování dat, nálezů a zjištění návrh a formulace doporučení vytvoření a validace závěrečné zprávy Závěrečná zpráva & workshop přehled provedených testů zhodnocení výsledků doporučení nápravných opatření

Zátěžové testy Cíl: Testování odolnosti služby (www, DNS) Průběh Sekundární efekt testování odolnosti sítě a obranných prvků specifikace: cíle, požadavky a očekávání, pravidla, režim průzkum terénu (ve spolupráci se správcem testované sítě) návrh průběhu testů kalibrace nástrojů a prostředí výběr termínu provedení testů vyhodnocení výsledků Závěrečná zpráva & workshop přehled provedených testů zhodnocení výsledků doporučení nápravných opatření

Základní kontrola zabezpečení serverů a pracovních stanic Využívá program NESSUS (nejrozšířenější aktivní bezpečnostní síťový scanner) a OpenVAS Správce musí absolvovat autorizační proces Bezpečnostní audit může autorizovaný správce spustit kdykoliv a s nastavitelným zpožděním Možnost definovat zda poběží pouze bezpečné nebo i nebezpečné testy CESNET Audit system Výsledky jsou zaslány el. poštou (šifrovaně) Službu je možné spustit také lokálně v dané síti V žádném případě se nejedná o náhradu penetračních testů!

Záložní poštovní server ( relay ) Poštovní služby v případě nedostupnosti primárního mail serveru podrží zprávy 5 dní čas je možné prodloužit fronta je monitorována zřízení: oznámení sekundárního MX záznamu domény na masters@ Antispam Gateway služba zajišťuje anti spam/vir ochranu příchozího mailového provozu nepřijetí (odmítnutí) nevyžádané pošty antivirovou a antispamovou analýzu zpráv doručení ohodnocených zpráv na koncový poštovní server rozhodnutí spam/ham probíhá na koncovém serveru plní rovněž funkci záložního poštovního serveru (relay) zprávy v případě nedostupnosti primárního příjemce podrží 5 dní, dle domluvy déle

Antispam Gateway Parametry Výhody AG je monitorována Pracovištěm Stálé Služby v režimu 24/7 systematická kontrola provozu, uchovávání provozních informací (logování) možnost individuálních nastavení pro konkrétní doménu není nutné specifikovat seznam existujících mailových adres whitelist správce domény (organizace) má přístup k logům více domén > více zkušeností > větší účinnost váš e mail provoz je v bezpečí odpadají náklady na údržbu vlastní antispam ochrany Zřízení služby masters@cesnet.cz oboustranná akceptace pravidel nastavení služby testovací provoz

Synchronizace času protokolem NTP poskytujeme přesný čas (ve stupnici UTC) 2 NTP servery stratum 1 [tik.cesnet.cz, tak.cesnet.cz] umístění v síti garantuje vysokou dostupnost a minimální zpoždění pro koncové uživatele i pro NTP servery stratum 2 zpoždění v řádech mikrosekund Časová razítka Časové služby přiřazení nezpochybnitelné časové informace k určitému objektu (např. jako doklad, že dokument existoval v daném okamžiku v minulosti) pro fyzického uživatele nebo server (typicky podepisování logů) razítka vydává autorita časových razítek (TSA Time Stamp Authority) Provozována CESNET v rámci CESNET PKI služeb

DNS služby CESNET provozují robustní architekturu DNS serverů 2 auth 2 resolvery anycast, DNSSEC ns.cesnet.cz 195.113.144.194, 2001:718:1:1::2 ns.ces.net 195.113.144.233, 2001:718:1:101::3 Služby resolving primární a sekundární delegace domén shadow master

Co jsme schopni udělat, když... Máte podezření, že něco není v pořádku ad hoc analýza provozu konzultace, zhodnocení situace dlouhodobé systematické sledování podezřelého provozu Jste zdrojem problému (útoku) ad hoc analýza provozu filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina pomoc s odstraněním problému Jste cílem útoku (např. typu záplava) ad hoc analýza provozu filtrace na hraně mezi sítí a páteří, případně na perimetru sítě

Co jsme schopni udělat, když... Objeví se plošný útok na uživatele (phishing nesoucí malware) analýzu incidentu (malware) vydat doporučení, co dělat (csirt forum@) identifikovat nakažené stroje v síti zabránit komunikaci nakažených strojů (v koncové síti) Objeví se zranitelnost (HB, ShellShock) } na žádost, ne automaticky otestování prvků v koncové síti analýza provozu dostupnými metodami, vytvořenými nástroji rychlou úpravou sondy Chcete zjistit, jak na tom vaše síť je (prevence) penetrační testy zátěžové testy

Osvěta Semináře velký seminář o bezpečnosti každý rok začátkem února!securityfest! osvětový seminář pro širokou veřejnost, říjen Školení (tématická) správa a zabezpečení DNS eduid.cz systém FTAS (on demand) IPv6 Školení (semináře) pro uživatele studenti zaměstnanci technici i netechnici

Gramotné používání výpočetní techniky jako nejlepší prevence Současný vývoj bezpečnosti v oblasti IT směřuje stále více k uživatelům, kteří tak při své práci musí každý den čelit různým. Přednáška se zabývá základními bezpečnostními riziky, které uživatelům při práci s výpočetní technikou a službami dostupnými prostřednictvím internetu hrozí, popisuje nejčastější chyby, kterých se dopouštějí a také neznalosti, ze kterých chyby pramení. Jsou popsány základní principy péče o výpočetní prostředek, principy ochrany identity, soukromí a dat, vlastností základních aplikací typu e mail, prohlížeč apod. Stručně je probrána také oblast informační (digitální) stopy. Aktuální kybernetické hrozby V rámci prezentace jsou představeny a popsány aktuální kybernetické hrozby a útoky. Jedná se zejména o phishingové, ransomwarové a malwarové útoky, které se začaly objevovat v roce 2014, a které cílí na koncové uživatele. Posluchači jsou dále seznámeni s občansko a trestně právní odpovědností za jednání v kyberprostoru. Samostatná pozornost je věnována i problematice EULA, autorským právům a problematice sociálních sítí. Součástí prezentace jsou základní doporučení jak se chovat v prostředí Internetu, aby ne uživatel nestal obětí útoku nebo se nedopustil porušení legislativy. Digitální stopa Při používání počítačů a internetových online služeb za sebou každý den zanecháváme velmi silnou tzv. digitální stopu. Ta je složena z informací, které umožňují vysledovat činnost uživatele a získat o něm velké množství zajímavých informací např. kdy se do sítě připojil, kdy používal jakou službu, kdy a komu napsal e mail, kdy přistupoval na konkrétní www stránku. Co hůře ale také informace o tom, co dělal včera, co plánuje dělat zítra, kde je, kam jde atd. Některým digitálním stopám se vyvarovat nelze, ale za většinu z nich si můžeme sami svou činností v kombinaci s neznalostí. Přednáška demonstruje, kde všude po sobě tyto digitální stopy zanecháváme a proč a k čemu je možné informace z této digitální stopy využít. IT a legislativa Přednáška představí vybrané pasáže z legislativy týkajících se prostředí Internetu, počítačových sítí a služeb. Je vysvětleno, jak na některé činy, kterých se jako uživatelé vědomě či nevědomě dopouštíme, pamatuje legislativa ČR a co by nám jako uživatelům mohlo hrozit, když spácháme např. bezpečnostní incident, nebo se staneme nedobrovolnými účastníky kybernetického útoku.

HaaS (Honeypot as a Service) Připravujeme předpřipravený image zdroj dat pro Warden dedikované nebo centrální řešení Passive DNS sběr odpovědí z DNS serveru vytváření historie DNS řekni mi jak se IP adresa a.b.c.d jmenovala před měsícem Reputační databáze databáze síťových entit (IP adresy, sítě, domény, ) seznam známých zdrojů škodlivých aktivit a všeho, co o nich víme shrnutí všech informací do reputation score

Únor 2017 Seminář o bezpečnosti www.cesnet.cz

Strategie správy sítě CESNET2 v souvislosti s bezpečností Transparentní přístup Žádné zásahy/omezování legitimního provozu Nabídka služeb a nástrojů pro vlastní dohled a seberegulaci pro připojené organizace V případě problému se rozhodujeme na základě vyhodnocení konkrétní situace V případě ohrožení stability infrastruktury musíme zasáhnout V případě žádosti nastavujeme pro koncovou síť regulaci na páteři Připravené a otestované mechanismy pro zásah

Strategie správy e infrastruktury CESNET v souvislosti s bezpečností Gramotní a vysoce erudovaní správci Expertní týmy a pracoviště (Pracoviště Stálé Služby, Network Operation Centre, bezp. tým CESNET CERTS, Forenzní laboratoř) Kontinuální odborný, výzkumný a technologický rozvoj dle vývoje situace v oblasti bezpečnosti, služeb a potřeb CESNET2 Komplexní portfolio nástrojů a služeb pro monitoring, detekci anomálií, analýzu dat, mitigaci, sdílení Data ve vysoké kvalitě pro online i offline analýzu provozu a hrozeb Soulad se Zákonem o kybernetické bezpečnosti

Děkuji za pozornost. Andrea Kropáčová, andrea@cesnet.cz

Kontakty http://www.cesnet.cz/ http://eduroam.cz http://eduid.cz sluzby@cesnet.cz komunikace o službách poskytovaných sdružením CESNET info@cesnet.cz obecný komunikační kanál support@cesnet.cz kontakt na Pracoviště stálé služby (dohledové centrum) pro hlášení a řešení provozních problémů

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář