Развитие сервисов по анализу и предотвращению инцидентов в сети RENAM A. Altuhov, Dr. P. Bogatencov, A. Golubev, Dr. V. Sidorenco RENAM Association Chisinau, Moldova Mai, 14-15, 2007 Main principals of RENAM communication infrastructure development Basic communication infrastructure development has to be accompanied by realization of two principal approaches that affect the networks utility and end users’ quality of services : New networking and informational services deployment Secure and reliable network operation, operative reaction on any security incident 2 Secure and reliable network operation Raising the level of RENAM network operation secure, system and users’ information protection: Security technologies implementation Organizational measures 3 Security technologies implementation Secure tools implementation for servers operation protection in RENAM network: – Implementation of DDoS (Distributed Denial of Services) attacks and multi level data floods protection system – SSL services for mail (smtp, pop3s, imaps, web interfaces) – Secure Shell to access remote servers console – Enabling auditing on critical servers – packet filters (ipfw, iptables) – Intrusion detection systems (snort, prelude) Anti SPAM mechanisms and filters implementation for RENAM mail system: – spamassassin - for spam detection – grey listing – RBL - Realtime Blackhole List – clamav - open antivirus software integrated with mail servers 4 Organizational measures Realization of CERT – NATO project “Creation of Infrastructure for CERTs in Belarus, Moldova, Ukraine and their Initial Operation” in R&E networking segment of Moldova. Specific features of RENAM CERT organization and functioning: RENAM CERT deploying is effectuating in close cooperation with national CERT coordinator – SE “The Center of Special Telecommunications”; NREN CERT is a part of the creation national structure of Secure Incident Response Centers; RENAM CERT personal training plans include activities at the local level and participation in international training events 5 Security and CSIRT 'Security is not a product but it is a process' - by Bruce Schneier 'A CSIRT team is like a fire-brigade! It's just sad we don't have those shiny fire engines' - HB 6 CERT Definition A CERT organization is a national or regional level organization that acts as a coordination centre readily available to respond to and tackle any emergency computer and network security incidents. Usually the organization handles computer security incidents and vulnerabilities, publishes security alerts, and develops information and training on information security. 7 Many Things a CSIRT Can Do List from CERT-CC (www.cert.org/csirts/) No-one does all of these ! 8 CERT common services Essential function to call yourself a CSIRT May consist of any or all of: • Incident prevention • Incident detection • Incident analysis » Forensic evidence collection » Tracing or tracking • Incident post-processing 9 10 Компоненты структуры CERT-MD CERT Statistics Monitoring System CERT Server Users FAQ Ticketing System 11 Сервисы Пользователя • FAQ • Просмотр форума • Полезные ссылки • Контактная информация • Общая статистика 12 Сервисы Системного Администратора • Форум • Система обработки Инцидентов • Запись и чтение FAQ • Форма для заполнения инцидентов • Полная статистика по разделам 13 Сбор информации об инцидентах происходит посредством: • Мониторинга сети и идентификацией подозрительных участков сети или подозрительной деятельности в сети. • Пользователь сам заявит об инциденте произошедшем на его участке сети и эта информация пройдя контроль офицера CERT будет считаться инцидентом. • Информация об инциденте может быть получена из другой системы CERT, так как такие системы могут и должны обмениваться информацией как на государственном так и на международном уровне. 14 Как сообщить об инциденте Пользователь или администратор сети может заявить об инциденте одним из следующих способов: • Зарегистрировать запрос на сайте MD-CERT – http://cert.acad.md; • Отправить запрос по факсу или сообщить по телефону; • Передать запрос по электронной почте; • Передать запрос другим доступным и приемлемым образом. 15 Мониторинг Для мониторинга сети используются различные системы мониторинга работающие с протоколами ICMP и SNMP. Существует ряд готовых систем мониторинга. В нашем CERT используются следующие: • Nagios • NetIIS 16 Виды статистики CERT в CERT-MD • Общая статистка доступна любому пользователю • Индивидуальная статистика об офицерах CERT - именно данная статистика позволяет оценивать работу офицера • Полная статистика – служит для детального анализа и руководства к конкретным действиям по улучшению безопасности на том или ином участке сети В ближайшее время планируется создать WEB сервис для распространения общей статистки, таким образом информация о сетевой безопасности может быть доступна для СМИ и пользователей. 17 Заключение В настоящее время приоритет при обработке инцидентов и оказании консультационных услуг центром MD-CERT имеют пользователи научно-образовательной сети RENAM. Тем не менее, его услугами могут воспользоваться пользователи всего Internet сегмента Республики Молдова и заинтересованные лица из других стран, которые имеют отношение к компьютерным инцидентам. 18