Nedávno jsem měl příležitost navštívit centrum dohledu počítačové sítě Harvardovy univerzity. Je neobvyklé vidět slova „dohled“ a „univerzita“ v jedné větě, protože univerzity jsou tradičně centry svobody slova a jakýkoli dohled nad komunikací v nich je vnímán velmi negativně.
Naneštěstí vysoké školy jsou již delší dobou nejen centrem vzdělání, ale i počítačové kriminality. Jak jako oběti, tak jako místo, odkud je zákon porušován. Řada hackerů ze školy podniká své útoky, samotné školní systémy jsou velmi často terčem napadení a samozřejmě vysoké školy jsou jedním z míst nelegálního sdílení softwaru. Důsledkem je, že univerzity musely investovat značné částky do různých způsobů monitorování školní sítě.
Co činí harvardský systém dohledu výjimečným, není fakt jeho samotné existence, ale rozsah a propracovanost dohlížecích aktivit. Harvard má 6Gb připojení jak k běžnému internetu, tak internetu2 (univerzitní internetová síť nové generace). Každý den se přes hranice univerzity přenese 10 až 20 terabajtů dat. Navíc tato data často projdou asymetrickým směrováním, to znamená, že pakety dat jdou přes různé hraniční směrovače podle toho, zda směřují dovnitř, či ven z univerzity. Jde o jeden z nepříjemných důsledků způsobu známého jako „hot potato routing“ (či „deflection routing“ – řešení, kdy jsou data posílána co nejrychleji přes volný směrovač, i když není zrovna tím nejbližším k cíli datového paketu). I přes celkovou složitost se Harvardu daří kategorizovat a zaznamenat informace o prakticky každém datovém paketu překračujícím hranice školy.
Abych zjistil, jak tahle celá magie funguje, setkal jsem se s Jayem Tumasem, manažerem správy sítě. Nebyla to dlouhá cesta, jeho kancelář v univerzitním oddělení informačních systémů je vzdálena jeden domovní blok od mé kanceláře na Fakultě technických a aplikovaných věd.
ANI PAKET NENÍ PŘEHLÉDNUT
Připojení Harvardu k internetu a internetu2 jsou fyzicky realizována na třech uzlech: dva jsou v Bostonu a jeden v Cambridgi. Než instalovat bezpečnostní a detekční systém na hranicích sítě, Jay Tumas vybudoval speciálně pro tento účel sledovací systém, který zaznamenává veškerý kritický datový provoz, zkopíruje každý paket a tyto posílá přes 10 Gb optická vlákna do síťového sledovacího střediska. Tady jsou datové toky znovu složeny pomocí přepínačů Cisco a roztříděny dle skupiny protokolů s použitím IDS Balancerů 4508 firmy Top Layer (Internet Distribution System Balancery jsou zařízení pro regulaci a sledování provozu sítě, rozdělují pásmo, kontrolují průchozí data).
Takové uspořádání umožňuje Harvardu rozdělit celkovou zátěž mezi několik systémů, protože na jeden IDS by to bylo příliš.
„Loni jsme měli přes 10 milionů IDS zaznamenaných problémů,“ říká Tumas. Ale místo toho, aby každý hned vyvolal poplach či naopak bylo vše potichu ukládáno do záznamů, které nejsou čteny, Harvard vytvořil systém, který každému problému přiřadí hodnotu dle jeho závažnosti, analyzuje, zda nejde o falešný poplach, a teprve poté zalarmuje příslušného bezpečnostního manažera.
Harvardské centrum síťového provozu má databázi s 1 500 až 2 000 registrovanými systémovými a síťovými manažery. Když IDS zaznamená „útok“, systém se snaží ho přiřadit k ostatním již dříve zaznamenaným útokům. Když závažnost problému překoná dostatek filtračních testů, systém automaticky pošle poplašné hlášení zodpovědnému manažerovi. Loni bylo takových poplachů asi 10 000. „Chceme, aby lidé vnímali automatické poplachy vážně,“ říká David LaPorte, jeden z manažerů pracujících pro Tumase.
Varování jsou důležitou částí monitorování sítě, ale bez možnosti podívat se zpátky v čase by měly jen omezené použití. Je důležité najít systémy, jejichž bezpečnost byla narušena, a také vyhodnotit, k jak velké škodě došlo. Například nedávno zjistil IDS systém, že doménový ovladač Microsoft Active Directory byl hacknut, přitom všechno zaznamenávání na tomto místě bylo vypnuto. Aby zjistili, co se přesně systému stalo, použili Tumas a jeho tým QRadar, bezpečnostní sledovací systém od Q1 Labs. Ten monitoruje několik informačních zdrojů včetně toho, kudy putují datové pakety, dále síťový provoz a bezpečnostní události. Vytváří model sítě, získané informace okamžitě používá k aktualizaci modelu a archivuje informace, aby šly události v budoucnu rekonstruovat, je-li to potřeba.
Stejně jako je každý paket směřující dovnitř i ven vyhodnocen IDS systémy, je také zpracován QRadarem. Ten z informací rekonstruuje UDP a TCP (User Datagram Protocol, Transmission Control Protocol), dekóduje protokoly, určí, zda jdou přes správný port, a vše zaznamená do databáze. QRadar může být nastaven, aby zaznamenal celé pakety, nebo jen jejich části. První možnost logicky vyžaduje obrovský objem úložného místa, proto se používá jen ve výjimečných situacích.
„Vydolovali jsme každé jednotlivé spojení, které tento systém vytvořil přes hranici naší sítě, prozkoumali je všechny a vybrali cokoli netypického, co jsme nemohli správně určit,“ říká Tumas. Ukázalo se, že narušený systém byl využit k přenosu 350 MB souborů na počítač umístěný v jiné univerzitě. To bylo skutečně velmi závažné, a tak Harvard kontaktoval druhou univerzitu, aby zkontrolovala počítač na druhém konci přenosu. Tamní administrátoři nalezli 350 MB francouzské hudby. „Patrně nebyli v systému dost dlouho na to, aby zjistili, jak významný průlom se jim podařil,“ dodává Tumas.
V jiném případě volal síťový administrátor v Harvardské lékařské fakultě do centra síťového provozu s tím, že jeho síť je vystavena útoku. A tak se lidé v centrále podívali do QRadaru a okamžitě viděli, že někdo na onu síť skutečně směřuje DoS útok. Stačilo přidat do hraničních směrovačů harvardské sítě několik nových pravidel, a útok ustal. „Ještě jsem neviděl nástroj, který by dodával kritická data tak rychle jako QRadar,“ říká Tumas. Zobrazuje celkovou úroveň provozu i jeho jednotlivé části podle různých kritérií, například síťových protokolů, administrativní kontroly, územního umístění, času či rizikovosti pro bezpečnost.
QRadar běží na linuxovém serveru s duálním procesorem a pakety a databáze jsou uloženy na 6TB diskovém poli. Když jsem mluvil s Tumasem, systém byl zrovna nastaven na zaznamenání prvních 64 bajtů každého paketu,tedy přibližně 30 dnů provozu. Ukázalo se však, že oněch prvních 64 bajtů není zrovna nějak závratně užitečných, nelze s nimi například rekonstruovat většinu webových stránek či obrázků. Existují už plány na přenastavení systému tak, aby ukládal jen metadata o každém síťovém připojení a ne již samotné pakety. To povede ke zvětšení relativní úložné kapacity na šest měsíců.
ZLEPŠOVÁNÍ JE STÁLE TŘEBA
Přes všechnu svou sílu a možnosti má QRadar minimálně dva problémy, které byly během mé návštěvy zcela patrné. Jedním je, že mu něco chybí, a druhým, že něco přebývá. Otravné omezení QRadaru je, že systém ve skutečnosti nerozumí tomu, jak jsou pakety na internetu směrovány, nechápe internetové autonomní systémy, peer-to-
-peer vztahy a Border Gateway Protocol (BGP). Když vidí QRadar paket opouštět univerzitní síť, zná jeho koncovou síť, ale nikoliv další podrobnosti. Kdyby QRadar rozuměl BGP, mohl by vytvořit mapu různých sítí, kam onen paket směřuje. Harvardské centrum síťového provozu by rozhodně uvítalo odstranění tohoto nedostatku, a to čím dříve, tím lépe.
Hlubší problém QRadaru ovšem tkví v tom, že umožňuje provádět druh sledování, který je v univerzitním prostředí nepřípustný. Například systém může vytvořit seznam IP adres všech univerzitních počítačů, ze kterých se někdo díval na pornografické stránky, weby s hazardem, stránky s nabídkou práce atd. Ty mohou být snadno propojeny se záznamy o přístupu k síti či s MAC adresami, čímž vzniká podrobný obraz o každém uživateli na univerzitě. Na druhou stranu systém zároveň udržuje zcela nedostatečné záznamy o svých uživatelích-administrátorech – ví, kdy se přihlásili a odhlásili, ale už ne, kdo hledal která data.
Ačkoli je jistě velmi důležité, aby měly organizace možnost zpětně vysledovat, co se dělo v minulosti, je neméně důležité kontrolovat, že tyto údaje nejsou zneužívány. Jedním ze způsobů ochrany je, že dohledové systémy automaticky vytvářejí záznamy a zprávy o tom, jak jsou používány. Takový přístup je používán v systémech americké vlády, kde jsou požadavky na sledování podrobně zkoumány jak v průběhu samotného sledování, tak po něm. Správní úřad soudů Spojených států každoročně vydává podrobnou zprávu o každém elektronickém sledování v USA. Organizace disponující sledovacím zařízením by měly zavést stejné postupy, a nástroje, jako je QRadar, měly by vytvářet chráněné záznamy o tom, co který uživatel v systému prováděl.