Security and Reliability Aspects of RENAM`s Regional and

реклама
Развитие сервисов по анализу и
предотвращению инцидентов в сети
RENAM
A. Altuhov, Dr. P. Bogatencov, A. Golubev, Dr. V. Sidorenco
RENAM Association
Chisinau, Moldova
Mai, 14-15, 2007
Main principals of RENAM communication infrastructure development
Basic
communication
infrastructure
development
has
to
be
accompanied by realization of two principal approaches that affect
the networks utility and end users’ quality of services :

New networking and informational services deployment

Secure and reliable network operation, operative reaction on
any security incident
2
Secure and reliable network operation
Raising the level of RENAM network operation secure,
system and users’ information protection:

Security technologies implementation

Organizational measures
3
Security technologies implementation
Secure tools implementation for servers operation protection in RENAM network:
–
Implementation of DDoS (Distributed Denial of Services) attacks and multi level data
floods protection system
–
SSL services for mail (smtp, pop3s, imaps, web interfaces)
–
Secure Shell to access remote servers console
–
Enabling auditing on critical servers
–
packet filters (ipfw, iptables)
–
Intrusion detection systems (snort, prelude)
Anti SPAM mechanisms and filters implementation for RENAM mail system:
–
spamassassin - for spam detection
–
grey listing
–
RBL - Realtime Blackhole List
–
clamav - open antivirus software integrated with mail servers
4
Organizational measures
Realization of CERT – NATO project “Creation of Infrastructure for CERTs in
Belarus, Moldova, Ukraine and their Initial Operation” in R&E networking segment of
Moldova.
Specific features of RENAM CERT organization and functioning:

RENAM CERT deploying is effectuating in close cooperation with national CERT
coordinator – SE “The Center of Special Telecommunications”;

NREN CERT is a part of the creation national structure of Secure Incident Response
Centers;

RENAM CERT personal training plans include activities at the local level and participation
in international training events
5
Security and CSIRT
 'Security is not a product but it is a process' - by Bruce
Schneier
 'A CSIRT team is like a fire-brigade! It's just sad we don't
have those shiny fire engines' - HB
6
CERT Definition
A CERT organization is a national or regional level
organization that acts as a coordination centre readily
available to respond to and tackle any emergency
computer and network security incidents. Usually the
organization handles computer security incidents and
vulnerabilities, publishes security alerts, and develops
information and training on information security.
7
Many Things a CSIRT Can Do
List from CERT-CC (www.cert.org/csirts/)
No-one does all of these !
8
CERT common services
Essential function to call yourself a CSIRT
May consist of any or all of:
• Incident prevention
• Incident detection
•
Incident analysis
» Forensic evidence collection
» Tracing or tracking
• Incident post-processing
9
10
Компоненты структуры CERT-MD
CERT
Statistics
Monitoring System
CERT Server
Users FAQ
Ticketing
System
11
Сервисы Пользователя
•
FAQ
•
Просмотр форума
•
Полезные ссылки
•
Контактная информация
•
Общая статистика
12
Сервисы Системного Администратора
•
Форум
•
Система обработки Инцидентов
•
Запись и чтение FAQ
•
Форма для заполнения инцидентов
•
Полная статистика по разделам
13
Сбор информации об инцидентах происходит посредством:
•
Мониторинга сети и идентификацией подозрительных участков
сети или подозрительной деятельности в сети.
•
Пользователь сам заявит об инциденте произошедшем на его
участке сети и эта информация пройдя контроль офицера
CERT будет считаться инцидентом.
•
Информация об инциденте может быть получена из другой
системы CERT, так как такие системы могут и должны
обмениваться информацией как на государственном так и на
международном уровне.
14
Как сообщить об инциденте
Пользователь или администратор сети может заявить об
инциденте одним из следующих способов:
•
Зарегистрировать запрос на сайте MD-CERT –
http://cert.acad.md;
•
Отправить запрос по факсу или сообщить по
телефону;
•
Передать запрос по электронной почте;
•
Передать запрос другим доступным и приемлемым
образом.
15
Мониторинг
Для мониторинга сети используются различные системы
мониторинга работающие с протоколами ICMP и SNMP.
Существует ряд готовых систем мониторинга. В нашем CERT
используются следующие:
•
Nagios
•
NetIIS
16
Виды статистики CERT в CERT-MD
•
Общая статистка доступна любому пользователю
•
Индивидуальная статистика об офицерах CERT - именно
данная статистика позволяет оценивать работу офицера
•
Полная статистика – служит для детального анализа и
руководства к конкретным действиям по улучшению
безопасности на том или ином участке сети
В ближайшее время планируется создать WEB сервис для
распространения
общей
статистки,
таким
образом
информация о сетевой безопасности может быть доступна
для СМИ и пользователей.
17
Заключение
В настоящее время приоритет при обработке
инцидентов и оказании консультационных услуг центром
MD-CERT имеют пользователи научно-образовательной
сети RENAM.
Тем не менее, его услугами могут воспользоваться
пользователи всего Internet сегмента Республики Молдова
и заинтересованные лица из других стран, которые имеют
отношение к компьютерным инцидентам.
18
Скачать