1 úvod 2 o společnosti - Partnerství v oblasti energetiky

1 úvod 2 o společnosti - Partnerství v oblasti energetiky

Bc. Tarek Batiha1
ABSOLVOVÁNÍ ODBORNÉ PRAXE VE SPOLEČNOSTI MPS Mont a.s.
Abstrakt
Tento článek popisuje osobní zkušenost s tvorbou dokumentace, analýzou sítového
provozu a nasazením systému typu honeypot ze stáže ve firmě MPS Mont a. s. v areálu
elektrárny Dětmarovice, která byla realizována v rámci projektu CZ.1.07/2.4.00/31.0080
Partnerství v oblasti energetiky.
Klíčová slova
Honeypot, Síť, SolarWinds.
1
ÚVOD
Ke své stáži jsem se dostal díky Moravskoslezskému energetickému klastru v rámci
projektu „Partnerství v oblasti energetiky“. Stáž jsem absolvoval v dětmarovické pobočce
firmy MPS Mont a.s.
Pracovní stáž sestávala ze dvou částí. První část byla věnována kompletní analýze
současného stavu rozvodů počítačové sítě firmy MPS Mont a.s. v areálu dětmarovické
elektrárny. Jednalo se konkrétně o tři objekty. Dále proměření rozvodů ke kontrole
současného stavu a následná analýza výsledků. Protože rozvody nebyly nijak označené
a nebyla dostupná žádná dokumentace, bylo mým úkolem její vytvoření a návrh označení.
Druhá část stáže byla zaměřena na konfiguraci a nasazení systému typu honeypot. Toto
téma jsem navrhl osobně, jelikož je součástí mého profesního zájmu. Jedná se o systém,
který zachytává neautorizované pokusy o vniknutí do systému. A protože je počítačová
bezpečnost v energetice velice důležitá, byl tento návrh přijat.
2
O SPOLEČNOSTI
Společnost patří se svou více než 20letou výrobně montážní činností mezi tradiční
dodavatele v energetickém strojírenství, teplárenství a petrochemii.
1
Bc. Tarek Batiha, Katedra informatiky, Fakulta elektrotechniky a informatiky VŠB –
Technická univerzita Ostrava, 17. listopadu, 2172/15 Ostrava-Poruba, tel.: (+420) 776 630
477, e-mail: [email protected].
MPS Mont a. s. zajišťuje komplexní dodávky pro výstavbu, modernizaci, renovaci
a údržbu, a to v širokém spektru průmyslových odvětví, zejména teplárenství, petrochemii,
energetice, strojírenství a potravinářském průmyslu.
V rámci svých činností nabízí projektování a dodávky strojních
a elektrotechnologických celků, jejich servis, údržbu, GO a pozáruční servis.
Společnost má certifikovaný integrovaný systém řízení, který zahrnuje systém
managementu kvality podle ČSN EN ISO 9001:2009, systém environmentálního
managementu podle ČSN EN ISO 14001:2005 a systém managementu kvality podle ČSN
EN ISO 9001:2009 ve spojení s ČSN EN ISO 3834-2:2006. Dále je společnost certifikována
na provádění stavebních výrobků – konstrukčních ocelových stavebních dílů, dílců, sestav
a konstrukcí dle EN 1090-2+A1 [1].
Obr. 1: Vjezd do areálu dětmarovické elektrárny
3
3.1
ZPRACOVANÍ
RM OSI
V první části stáže jsem se zabýval analýzou současného stavu rozvodů
a vytvořením dokumentace počítačové sítě firmy. U počítačových sítí se jako standard
používá mezinárodní norma ISO 7498. Referenční model ISO/OSI se používá jako názorný
příklad řešení komunikace v počítačových sítích pomocí vrstevnatého modelu, kde jsou
jednotlivé vrstvy nezávislé a snadno nahraditelné. V praxi je model využit pro programování
jednotlivých součástí síťového subsystému v modulech, které reprezentují jednotlivé vrstvy
a komunikují mezi sebou pomocí rozhraní (API). Díky tomu je možné jednotlivé části
snadněji naprogramovat a nezávisle nahrazovat (například vyměnit síťovou kartu, ovladač,
aplikaci a zároveň ponechat ostatní součásti beze změny). [2]
Obr. 2: RM-OSI
3.2
Dokumentace
Ve druhé fázi stáže u společnosti bylo vytvoření dokumentace sítě tak, jak vypadá na
první, fyzické vrstvě RM OSI.
Tato vrstva zajišťuje převod proudu bitů na signál, nejčastěji elektrický a naopak.
Protokoly fyzické vrstvy stanovují elektrické vlastnosti rozhraní (napěťové úrovně, průběhy,
kmitočty, modulace, rychlosti, elektrické vlastnosti kabelů) a mechanické vlastnosti (tvary,
velikosti a zapojení konektorů). Protože se na úrovni fyzické vrstvy pracuje se signálem,
musí být její realizace hardwarová [3].
Vytvoření dokumentace spočívalo v zakreslení celé počítačové sítě firmy MPS Mont
a. s. v areálu dětmarovické elektrárny. Samotný proces spočíval v průchodu všech prostor
a zakreslení všech zařízení připojených do počítačové sítě. Další fází bylo převedení
nákresů do srozumitelné, lehce čitelné elektronické podoby. V tomto ohledu mi byla dána
volnost ve výběru nástroje k zakreslení. Vybral jsem program Microsoft Visio, který je
součástí kancelářského balíku Microsoft Office. Tento nástroj byl zvolen proto, že umožňuje
na rozdíl od jiných programů určených k zakreslení síťové infrastruktury, krom zachycení
jednotlivých síťových zařízení a jejich propojení, také srozumitelný grafický editor pro
zakreslení, v mém případě rozdělení zařízení v jednotlivých místnostech. Na Obr. 3
můžeme vidět část vytvořené dokumentace.
Obr. 3: Ukázka dokumentace
4
ANALÝZA PROVOZU NA SÍŤOVÝCH ROZHRANÍCH
Další krok spočíval v analýze síťového provozu všech síťových rozhraní počítačové
sítě firmy. Tato analýza byla prováděna za účelem odhalení slabých míst sítě, jako
například nefunkčních kabelů a odhalení možných anomálií v síťovém toku.
Pro tento úkol byly zvoleny produkty firmy SolarWinds. Konkrétně se jednalo
o SolarWinds Server & Application Monitor – aplikace pro monitorování serverů, virtuální
vrstvy a aplikací, a SolarWinds Network Performance Monitor – nástroj pro detekci,
diagnózu a odhalení nesrovnalostí v síťovém provozu.
4.1
SNMP
Použité nástroje od firmy SolarWinds primárně používají ke sběru informací o stavu
sítě protokol SNMP – Simple Network Management Protocol. Tento protokol slouží ke sběru
informací nebo nastavení hodnot na určitém zařízení.
Protokol SNMP vyžaduje pro komunikaci dvě strany. Jednou entitou je správce
(manager) a druhou agent. SNMP pracuje ve dvou režimech činnosti:

Správce posílá dotazy agentovi a přijímá odpovědi. Hodnoty tedy může
získávat i více správců a mohou se ptát kdykoliv.
 Agent zasílá oznámení (trapy) na adresu správce. V nějakých
definovaných situacích (překročení nějaké hodnoty nebo i v pravidelném
intervalu) odesílá agent jednomu správci hodnoty [4].
Software pro analýzu vystupuje jako manager.
4.2
Měření
Pro měření byly použity produkty firmy SolarWinds, jak už bylo zmíněno. První
problém nastal hned po instalaci softwaru. Uživatelské rozhraní programu je webové, tj.
otevírá se v internetovém prohlížeči. Po instalaci je možné se do tohoto rozhraní přihlásit
pomocí defaultního uživatelského jména a hesla. Bohužel, přihlášení nefungovalo a nebylo
tedy možné program použít. Byla kontaktována oficiální podpora produktu, ale řešení se
nepodařilo nalézt. Všechny pokusy probíhaly v internetovém prohlížeči firmy Microsoft –
Internet Explorer. Jako poslední možnost byl zvolen prohlížeč Mozilla Firefox, na kterém vše
fungovalo bez problému. A to i přesto, že oficiální dokumentace softwaru uváděla Internet
Explorer mezi podporovanými prohlížeči.
Jelikož bylo potřeba provést měření na všech síťových rozhraních počítačové sítě,
přičemž ne všechny byly obsazené, bylo potřeba tuto situaci vyřešit. Řešení spočívalo
v obsazení všech volných síťových rozhraní VoIP telefony. Telefony byly připojeny po celou
dobu měření.
Před samotným měřením je nejprve nutné provést network discovery – zalogování
všech zařízení, která mají být monitorována. To je možné buď zadáním každé jednotlivé
IP adresy zařízení manuálně, nebo je možné proskenovat síťový rozsah.
Protože byly monitorovány desítky síťových rozhraní, byl proskenován celý rozsah
firemních adres. Samotný sken pak prochází každou adresu jednotlivě a testuje ji na ping
nebo jiné služby, na které by mohlo koncové zařízení odpovídat. Zařízení, která reagují na
testy, se pak uloží do interní databáze programu a je na nich možné provádět různé testy
a monitorovat je. Na Obr. 4 je znázorněn běžící program.
Obr. 4: Solarwinds
4.3
Výsledky měření
Nejdůležitějším sledovaným parametrem ke zjištění spolehlivosti jednotlivých rozhraní
je ztrátovost paketu na jednotlivých rozhraních. Při týdenním monitorování byla zjištěna
vysoká odezva a ztrátovost jednoho PC. Všechna ostatní rozhraní měla minimální odezvu
a ztrátovost paketů, což odpovídá bezproblémovému stavu.
Na Obr. 5 pak můžeme vidět graf ztrátovostí paketů vytvořený jako report softwarem
SolarWinds. V grafu je zaznamenána ztrátovost paketů v průběhu jednoho pracovního dne.
Každá barva reprezentuje jednu IP adresu, nejčastěji PC. Výkyvy, kde je ztrátovost paketů
100 %, jsou situace, kde jsou jednotlivá PC vypnuta zaměstnanci nebo v režimu spánku
v důsledku delší neaktivity.
Obr. 5: Graf ztrátovostí paketů
5
HONEYPOT
V poslední fázi praxe bylo vybráno testovací nasazení systému typu honeypot
do interní sítě firmy z důvodu zvýšení cyber bezpečnosti firmy jako poměrně nenáročné
řešení. Honeypot byl založen na opensource technologiích vydaných pod licencí GPL,
a proto nebyly nutné žádné investice do tohoto projektu.
5.1
Vysvětlení pojmu
Honeypot znamená v doslovném překladu „hrnec medu”. Jeho úkolem je nalákat
útočníka jako potenciálně jednoduchý cíl, forma pasti.
V počítačových sítích se pro zvýšení bezpečnosti mohou nasadit takovéto falešné
systémy jako například server na Internetu. V tomto případě systém čeká, až jej někdo
napadne a takovéto útoky se pak analyzují. Server se z venku jeví jako každý jiný. Tento
model se používá k detekci červů a expolitů síťových služeb.
Honeypoty se dělí do 2 velkých skupin:
 Honeypoty s nízkou mírou interakce
 Honeypoty s vysokou mírou interakce
Honeypoty s vysokou mírou interakce jsou v podstatě úplně obyčejné systémy, často
průměrně zabezpečené, např. s odhadnutelným SSH heslem. Tyto systémy se
od obyčejných ale liší tím, že každá akce potencionálního útočníka je zaznamenána.
Účelem tohoto systému je pak analýza takovýchto průniků. Toto je však velice časově
náročné a vyžaduje vysoce vzdělané bezpečnostní experty pro analýzu.
Honeypoty s nízkou interakcí jsou nejčastěji počítačové programy, které se navenek
tváří jako reálný počítač. Simulují nejznámější služby a tím matou útočníka. Na rozdíl
od honeypotů s vysokou mírou interakce může potencionální útočník jednodušeji odhalit, že
se jedná o honeypot. Výhodou je, že lze na jednom stroji spustit více takovýchto strojů a tím
vytvořit tzv. honeynet.
5.2
Konfigurace
Pro nasazení byl vybrán démon honeyd, který vyvinul Niels Provos. Bohužel,
poslední vydání tohoto systému je z roku 2007. Dnes je honeyd udržován v projektu Nova
společnosti DataSoft. Pro nasazení byl použit tento systém.
Prvním krokem byla instalace honeyd. Důležitou volbou byl operační systém, na
kterém má honeyd běžet. Existuje i port na systém Windows společnosti Microsoft, ale
oficiálně nemusí nabízet stejnou konfiguraci jako systém Linux. Pro testovací nasazení byl
zvolen operační systém Ubuntu 12.04 LTS server edition ve virtualizačním nástroji
virtualbox.
Jelikož balík honeyd v repositáři ubuntu není nejnovější verzí, nejvhodnějším řešením
se jevilo použití verze z projektu Nova. Tato verze byla použita. Níže můžeme vidět postup
instalace honeyd ze zdrojových kódů DataSoft.
5.3
Postup instalace
Stažení zdrojových kódů: git clone git://github.com/DataSoft/Honeyd.git
Instalace potřebných knihoven: sudo apt-get install libevent-dev libdumbnet-dev
libpcap-dev libpcre3-dev libedit-dev bison flex libtool automake tcl perl python
Kompilace:
1. ./autogen.sh
2. automake
3. ./configure
4. Make
5. sudo make install
Po instalaci je honeyd připraven k použití. V jedné instanci honeyd je možné spustit
přes 65 000 simulovaných systémů a vytvořit tzv. honeynet.
Konfigurace se provádí pomocí konfiguračních souborů. Jazyk konfigurace je
bezkontextová gramatika. Syntaxe je dobře popsaná v manuálových stránkách programu.
Aby honeypot vypadal důvěryhodně, i když se jedná pouze o program, musí se
navenek tvářit, jako kdyby na něm běžel operační systém. Toho se dá docílit tak, že bude
odpovídat na síťový provoz specifickým způsobem, který má téměř každá verze všech
operačních systémů specifický. Honeyd pracuje s databází otisků, která se dá specifikovat
při spuštění, takže je možné, aby se v honeyd nasimulovala většina operačních systémů.
5.4
Provoz
Při prvním testování honeyd, který byl nainstalován na operačním systému linux ve
virtuálním prostředí nástroje virtualbox, se testy prováděly na virtuálním síťovém rozhraní
loopback a vše fungovalo bez problémů do té doby, než se spustil honeyd na ethernetovém
rozhraní virtualboxu eth0. V tomto případě nebyl schopen honeyd odpovídat na jakýkoliv
provoz. Po dlouhém bádání bylo zjištěno, že virtualbox defaultně nedovoluje sniffing
na žádném síťovém rozhraní. To byl velký problém, protože této techniky využívá honeyd
k zachytávání síťového provozu určeného vytvořeným honeypotům. V nastavení virtualboxu
lze sniffing jednoduše povolit a tím plně zprovoznit honeyd.
Důležitou technikou k dokonalejšímu napodobení operačního systému je simulace
standardních služeb. Tyto služby se dají jednoduše naprogramovat, kdy příchozí síťový
provoz se čte ze standardního vstupu STDIN a odpovědi se pak posílají na STDOUT.
Honeyd už v základu obsahuje několik skriptů se simulacemi služeb jako telnet atd. Tyto
skripty jsou psány nejčastěji v pythonu nebo BASHi. Nevýhodou je, že při provozu na
nějakém portu, kde se simuluje nějaká služba, se vždy vytvoří nový proces. Toto se může
při velkém provozu jevit jako plýtvání systémovými prostředky, ale na druhou stranu by
provoz neměl být dlouhodobý, protože účelem nasazení honeypotu je vyvarovat se
takovému provozu.
Ukázka konfigurace jednoduchého honeypotu:
create windows
set windows personality “Microsoft Windows XP Professional SP1″
set windows default tcp action filtered
set windows default udp action filtered
set windows default icmp action filtered
add windows tcp port 23 open telnet.sh
add windows tcp port 135 open
add windows tcp port 139 open
add windows tcp port 445 open
set windows ethernet dell
dhcp windows on eth0
Honeyd si může vyžádat IP adresu z DHCP serveru. Po přijetí adresy z DHCP
serveru pak honeypot informuje ARP protokol o tom, že přijatá IP adresa se nachází na
MAC adrese virtuálního systému. Na Obr. 6 můžeme vidět celý tento proces.
Obr. 6: Honeyd
5.5
Použití
Systém byl nasazen do testovacího provozu sítě firmy jako množina virtuálních PC do
subnetu s klientskými PC. Toto řešení bylo zvoleno z důvodu monitorování potencionálně
nebezpečného provozu, který by klientské stanice mohly mít. Z logu honeyd pak lze vyčíst,
které stanice jsou napadeny a o jaký druh komunikace se škodlivý software snaží. Toto
řešení je vhodné k použití zejména proto, že antivirový software nebo firewall není, ani nikdy
nebude stoprocentní, a proto nasazení honeypotu v síti posouvá její bezpečnost o stupínek
výš.
6
ZÁVĚR
V průběhu praxe jsem se naučil a poznal spoustu nových věcí. V první řadě to bylo
seznámení se s funkcí IT oddělení ve větší firmě. Toto byla má první zkušenost z praxe
a z tohoto pohledu to byl pro mě značný přínos do budoucna, hlavně větší rozhled při
budoucí volbě povolání. Také jsem se seznámil s procesy uvnitř firmy, kteroužto zkušenost
je při studiu prakticky nemožné získat. Rovněž jsem se seznámil a pracoval s komerčním
softwarem, který běžně používám. Hlavním přínosem pro mě bylo seznámení s funkcí
honeypotu a počítačové bezpečnosti vůbec, protože je to obor, kterému bych se chtěl
během svého dalšího studia věnovat.
Poděkování
Touto cestou bych rád poděkoval Moravskoslezskému energetickému klastru, o. s.,
který mi umožnil, za finančního přispění Evropské unie v rámci projektu Partnerství v oblasti
energetiky, č. projektu: CZ.1.07/2.4.00/31.0080, realizovat praxi ve firmě MPS Mont a. s.,
a tím tak prověřit své teoretické znalosti a aplikovat je v praxi.
NETWORK INFRASTRUCTURE ANALYSIS
Keywords
Honeypot, Computer network, SolarWinds.
Summary
I have learned a lot of new information during my practise in the company. Firstly it
was to get know with IT department in bigger company. This was my first working
experience and from this point of view it was significant benefit to the future, especially
in choosing my job after studies. I also meet with processes in the company which
experience is impossible to gain during studies. Next I worked with commercial software
which is normally used in practise. Main contribution for me was learning about honeypot
and computer security in general because it is the area I would like to focuse on in my future
studies.
Literatura
1 MPS Mont a.s. [online].
mont.cz/cz/spolecnost.html.
[cit.
2014-05-20].
Dostupné
z:
http://www.mps-
2 Referenční
model
ISO/OSI.
[online].
[cit.
2014-05-20].
Dostupné
z:http://cs.wikipedia.org/wiki/Referen%C4%8Dn%C3%AD_model_ISO/OSI#Fyzick.
C3.A1_vrstva.
3 Fyzická
vrstva.
[online].
[cit.
2014-05-20].
z: http://cs.wikipedia.org/wiki/Fyzick%C3%A1_vrstva.
Dostupné
4 SNMP – Simple Network Management Protocol. [online]. [cit. 2014-05-20].
Dostupné z: http://www.samuraj-cz.com/clanek/snmp-simple-network-managementprotocol/.