====== Systém SSERV sítě CESNET2 ======

Nadace [[http://www.shadowserver.org/| Shadowserver]], americká nezisková organisace složená z dobrovolníků, sbírá, sleduje a generuje hlášení o zločinném softwaru, aktivitě botnetů a elektronických podvodech. Snaží se informovat o zkompromitovaných strojích, o útocích a o šíření virů, a tím zlepšit bezpečnost sítě Internet.

Bezpečnostní tým [[http://csirt.cesnet.cz/| CESNET-CERTS]] získal přístup k záznamům Shadowserveru o síti CESNET2 a pravidelně je distribuuje příslušným správcům všech sítí, které jsou součástí jeho autonomního systému.
K tomu slouží systém SSERV, který je v provozu od listopadu 2010.

Shadowserver uvádí, že dokáže detekovat mnoho druhů bezpečnostních incidentů. CESNET-CERTS od něho zatím dostal těchto 20 druhů hlášení o síti CESNET2:

  * **Botnet Proxy Report** - hlášení o infikovaných strojích, které slouží jako proxy servery pro rozesílání spamu nebo napadání dalších strojů.
  * **Command and Control Report** - hlášení o aktivních řídicích serverech botnetů za uplynulý týden. Obsahuje IP adresu a číslo TCP portu C&C serveru a název kanálu použitého pro řízení botnetu.
  * **Compromised Website Report** - hlášení o  webových serverech zkompromitovaných prostřednictvím botnetů. Mohou na nich běžet staré verse CMS (Joomla/Drupal/Wordpress) nebo užívají zkompromitovaných/slabých hesel správců.
  * **Drone Report** - hlášení o infikovaných strojích, které se podařilo zjistit při monitorování provozu řídicích serverů IRC, botnetů HTTP nebo poštovních relé distribujících nevyžádanou poštu. U některých záznamů je uveden i typ infekce - např. název viru na infikovaném stroji.
  * **Microsoft Sinkhole Report** - hlášení o strojích, které se připojily k HTTP serverům firmy Microsoft zřízeným v rámci projektů [[http://www.pcworld.com/article/2040881/microsoft-us-feds-disrupt-citadel-botnet-network.html/| Operation b54 ]] apod. proti různým botnetům. Takové stroje tedy buď jsou infikované, nebo patří bezpečnostním expertům.
  * **Open Proxy Report** - hlášení o infikovaných strojích, které slouží jako proxy servery pro rozesílání spamu nebo napadání dalších strojů.
  * **Open DNS Resolver Report** - hlášení o otevřených DNS resolverech, kterých lze zneužít v masivních útocích typu DDoS (Distributed Denial of Service) a k podvržení nesprávných údajů do DNS (Cache Poisoning). Viz [[https://dnsscan.shadowserver.org/ | toto]] a [[http://openresolverproject.org/ | toto]].
  * **Sandbox URL Report** - hlášení o URL, na které se snažil připojit vzorek malware v sandboxu typu CWSandbox.
  * **Scan CHARGEN Report** - hlášení o strojích poskytujících službu UDP Character Generator, které lze zneužít k útokům typu DDoS (Distributed Denial of Service). Viz [[https://chargenscan.shadowserver.org/ | toto]].
  * **Scan IPMI Report** - hlášení o serverech, na kterých je služba Intelligent Platform Management Interface dostupná z veřejného internetu; takový stav je velmi nebezpečný. Viz [[http://fish2.com/ipmi/ | toto]] a [[https://www.us-cert.gov/ncas/alerts/TA13-207A | toto]].
  * **Scan NAT-PMP Report** - hlášení o strojích, které reagují na dotazy UDP NAT-PMP [[https://tools.ietf.org/html/rfc6886|(RFC 6886)]] přijaté na veřejném rozhraní; lze tak zjistit informace o privátní síti a o přenášených datech. Viz [[https://natpmpscan.shadowserver.org/ | toto]].
  * **Scan NETBIOS Report** - hlášení o strojích poskytujících službu UDP NETBIOS Name Service, které lze zneužít k útokům typu DDoS (Distributed Denial of Service). Viz [[https://netbiosscan.shadowserver.org/ | toto]].
  * **Scan NTP Report** - hlášení o otevřených NTP serverech, kterých lze zneužít k útokům typu DDoS (Distributed Denial of Service) prostřednictvím dotazů typu Mode 6. Viz [[https://ntpscan.shadowserver.org/ | toto]].
  * **Scan NTP Monitor Report** - hlášení o otevřených NTP serverech, kterých lze zneužít k ještě masivnějším útokům typu DDoS (Distributed Denial of Service) prostřednictvím dotazů typu Mode 7. Viz [[https://ntpmonitorscan.shadowserver.org/ | toto]].
  * **Scan QOTD Report** - hlášení o strojích poskytujících službu UDP Quote of the Day, které lze zneužít k útokům typu DDoS (Distributed Denial of Service). Viz [[https://qotdscan.shadowserver.org/ | toto]].
  * **Scan SNMP Report** - hlášení o strojích poskytujících službu SNMP verse 2, které lze zneužít k masivním útokům typu DDoS (Distributed Denial of Service). Viz [[https://snmpscan.shadowserver.org/ | toto]].
  * **Scan SSDP Report** - hlášení o strojích poskytujících službu SSDP, které lze zneužít k masivním útokům typu DDoS (Distributed Denial of Service). Viz [[https://ssdpscan.shadowserver.org/ | toto]].
  * **Sinkhole HTTP Drone Report** - hlášení o strojích, které se připojily k HTTP serverům projektu Shadowserver zřízeným na adresách, jichž měly používat zločinné domény. Takové stroje tedy buď jsou infikované, nebo patří bezpečnostním expertům.
  * **Sinkhole HTTP Referer Report** - hlášení o strojích, které se připojily k HTTP serverům projektu Shadowserver zřízeným na adresách, jichž měly používat zločinné domény; tyto stroje uvedly v poli ''Referer'' URL, které odkazuje na Váš stroj. Tento odkaz může být zfalšovaný; je vhodné to prověřit.
  * **Spam URL Report** - hlášení o nevyžádané poště, kterou odeslal poštovní server nebo která obsahovala URL ze sítě CESNET2. Je možné, že URL je legitimní a že je spammer uvedl proto, aby zvýšil důvěryhodnost svého dopisu, ale je vhodné to prověřit.
  * **SSL-POODLE Scan Report** - hlášení o strojích poskytujících službu SSL v.3 v režimu Cipher Block Chaining (CBC) a tedy zranitelných skrze útok MiTM POODLE (Padding Oracle On Downgraded Legacy Encryption). Viz [[https://www.shadowserver.org/wiki/pmwiki.php/Services/Ssl-Scan/ | toto]].
  * **SSL-FREAK Scan Report** - hlášení o strojích poskytujících službu SSL/TLS se slabými šiframi RSA_EXPORT a tedy zranitelných skrze útok MiTM FREAK (Factoring RSA Export Keys). Viz [[https://www.shadowserver.org/wiki/pmwiki.php/Services/Ssl-Freak-Scan | toto]].

Hlášení, která rozesílá CESNET SSERV, jsou setříděna podle IP adres podezřelých/infikovaných strojů a podle času. Časové pásmo = GMT. Nedostupné údaje v hlášeních jsou nahrazeny hvězdičkami. Typ incidentu, o který se jedná, hlásí kód uvedený jako poslední znak na řádce takto:

==== B - Scan NETBIOS Report ====

Význam polí záznamu:

IP adresa stroje | (UDP port) | čas | kód=B

Příklad:

  192.0.2.13 (137) 2014-04-22_12:08:24 B

==== C - Command and Control Report ====

Význam polí záznamu:

IP adresa C&C serveru | TCP port | (kanál zneužitý pro botnet) | kód=C

Příklad:

  192.0.2.23 6667 (#crack-me) C

==== D - Drone Report ====

Význam polí záznamu:

Zdrojová IP adr. | Zdroj.port -> Cíl.IP adr. | Cíl.port | (typ infekce) | čas | kód=D

Příklad:

  192.0.2.33 2389 -> 10.12.34.166 80 (ConfickerC) 2010-11-18_09:59:56 D

==== F - Sinkhole HTTP Referer Report ====

Význam polí záznamu:

IP adresa z ''Refereru'' infikovaného stroje | (typ infekce) | čas | kód=F

Příklad:

  192.0.2.43 (downadup) 2014-03-12_19:52:34 F
  

==== f - SSL-FREAK Scan Report ====

Význam polí záznamu:

IP adresa stroje | TCP port | (Freak? Délka_Certifikátu Expirace?) | čas | kód=f

Příklad:

  192.0.2.48 443 (Y 1024 N) 2015-04-11_20:01:23 f


==== G - Scan CHARGEN Report ====

Význam polí záznamu:

IP adresa stroje | (UDP port) | čas | kód=G

Příklad:

  192.0.2.53 (19) 2014-03-27_13:58:51 G

==== H - Sinkhole HTTP Drone Report ====

Význam polí záznamu:

Zdroj.IP adr. | Zdroj.port -> Cíl.IP adr. | Cíl.port | (typ infekce) | čas | kód=H

Příklad:

  192.0.2.63 2389 -> 10.56.78.193 80 (downadup) 2010-11-15_12:54:06 H

==== I - IPMI Report ====

Význam polí záznamu:

Zdroj.IP adr. | Zdroj.UDP port | Verse | NONEauth? | MD2auth? | MD5auth? | PASSKEYauth? | OEMauth? | DEFAULTkg? | PERMSGauth? | USERLEVELauth? | Usernames? | NULLuser? | ANONlogin? | čas | kód=I

Příklad:

  192.0.2.73 623 2.0 N Y Y Y N default enabled enabled Y Y N 2014-06-27_17:04:59 I

Vysvětlení jednotlivých parametrů a jejich doporučené hodnoty - viz https://www.shadowserver.org/wiki/pmwiki.php/Services/Open-IPMI

==== M - Microsoft Sinkhole Report ====

Význam polí záznamu:

Zdroj.IP adr. | Zdroj.port -> Cíl.IP adr. | Cíl.port | (typ infekce) | čas | kód=M

Příklad:

  192.0.2.83 1152 -> 10.56.78.202 80 (B54-CONFIG) 2013-07-29_05:59:35 M

==== N - Scan SNMP Report ====

Význam polí záznamu:

IP adresa stroje | UDP port | (systém) | čas | kód=N

Příklad:

  192.0.2.93 161 (TIS-HPLJ2055) 2014-03-27_14:58:12 N

==== n - Scan NAT-PMP Report ====

Význam polí záznamu:

IP adresa stroje | UDP port | (kód_odpovědi ext_IP_adresa) | čas | kód=n

Příklad:

  192.0.2.98 5351 (128 192.0.2.98) 2015-01-29_18:47:59 n

==== O - Open Proxy Report ====

Význam polí záznamu:

IP adresa stroje | Proxy port | (typ a služba proxy) | čas | kód=O

Příklad:

  192.0.2.103 3128 (HTTP 1.1 192.168.1.1 (Mikrotik HTTPProxy)) 2012-04-24_21:09:20 O

==== P - Botnet Proxy Report ====

Význam polí záznamu:

IP adresa stroje | Proxy port | (typ proxy) | čas | kód=P

Příklad:

  192.0.2.113 80 (HTTPPROXY) 2011-03-10_11:57:00 P

==== Q - Scan QOTD Report ====

Význam polí záznamu:

IP adresa stroje | (UDP port) | čas | kód=Q

Příklad:

  192.0.2.123 (17) 2014-03-28_08:57:09 Q

==== R - Open DNS Resolver Report ====

Význam polí záznamu:

IP adresa stroje | (min. zesílení a verse DNS serveru) | čas | kód=R

Příklad:

  192.0.2.133 (4.2381 dnsmasq-2.32) 2013-11-12_20:09:31 R

==== S - Scan SSDP Report ====

Význam polí záznamu:

IP adresa stroje | UDP port | (systém) | čas | kód=S

Příklad:

  192.0.2.143 1900 (XRX_OS/1.0 UPnP/1.0 Phaser 8550DP) 2014-03-27_14:03:16 S

==== s - SSL-POODLE Scan Report ====

Význam polí záznamu:

IP adresa stroje | TCP port | (Poodle? Délka_Certifikátu Expirace?) | čas | kód=s

Příklad:

  192.0.2.148 443 (Y 1024 N) 2014-12-01_17:05:43 s

==== T - Scan NTP Report ====

Význam polí záznamu:

IP adresa stroje | UDP port | (systém) | čas | kód=T

Příklad:

  192.0.2.153 123 (ntpd 4.2.4p5-a1) 2014-03-27_14:03:16 T

==== t - Scan NTP Monitor Report ====

Význam polí záznamu:

IP adresa stroje | UDP port | (počet přijatých paketů a bytů) | čas | kód=t

Příklad:

  192.0.2.163 123 (100 44000) 2014-06-23_16:47:19 t

==== U - Spam URL Report ====

Význam polí záznamu:

IP adresa stroje v URL | (IP adresa odesilatele) -> URL | čas | kód=U

Příklad:

  192.0.2.173 (192.0.2.1) -> hXXp://www.example.com/f.asp?the=9872 2010-11-19_02:13:30 U


==== W - Compromised Website Report ====

Význam polí záznamu:

IP adresa stroje|TCP port (aplik.prot. http_host url) tag|čas|kód=W

Příklad:

  192.0.2.183 80 (hXXp www.example.com images/821/72/css.php) stealrat-t1 2014-06-23_16:39:14 W

==== X - Sandbox URL Report ====

Význam polí záznamu:

IP adresa stroje | URL | metoda | čas | kód=X

Příklady:

  192.0.2.193 hXXp://192.0.2.89/~skots0am/grabber/index.php GET 2014-02-12_17:18:19 X

  192.0.2.194 fXp://anonymous:pwd@ftp.example.cz/pub/win/Mario.zip * 2014-02-12_18:19:20 X

----

U všech incidentů kromě **U - Spam URL Report** Shadowserver zásadně posílá jediný záznam o každé IP adrese nebo o každém URL bez ohledu na počet detekovaných incidentů. Systém SSERV omezuje počet zobrazovaných záznamů typu **U - Spam URL Report** o každé IP adrese na max. 4 řádky.

CESNET-CERTS hodlá projekt SSERV dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě na [[sserv@cesnet.cz | tuto adresu]]. Už nyní CESNET SSERV nabízí tyto možnosti:
  * posílat vám nejen standardní dopis se všemi incidenty ve vaší síti, ale i dílčí kopie tohoto dopisu, z nichž každá obsahuje incidenty týkající se jediné IP adresy
  * úplně ignorovat jednotlivé IP adresy 
  * úplně ignorovat celé sítě
  * ignorovat jednotlivé IP adresy pro hlášení trojského koně DNSchanger
  * ignorovat jednotlivé IP adresy pro hlášení typu D (Drone Report) a H (Sinkhole HTTP Drone Report).

CESNET-CERTS požádal Shadowserver o poskytování podrobnějších informací pro vybrané IP adresy, na kterých jsou v provozu Port Address translatory. Administrátor Shadowserveru odpověděl:

<code>
> We can query it individually.  It is not a service that is offered.
> (...) We would only be able to query specific IP's or networks that
> you had a question about, and all the answers would be ad-hoc.
</code>

----

Od dubna 2014 rozesílá Shadowserver zprávy typu **T - Scan NTP Report** o otevřených NTP serverech, kterých lze zneužívat k útokům typu DDoS. Obvykle jde o NTP servery na síťových prvcích (router, switch) a na Unixových/Linuxových strojích.

** Bezpečné šablony pro konfiguraci NTP na strojích Cisco, Juniper, UNIX od Cymru Teamu**

http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html | 

**Protokol NTP na zařízeních Cisco**

[[http://www.cisco.com/web/about/security/intelligence/ERP-NTP-DDoS.html|Cisco Event Response: Network Time Protocol Amplification Distributed Denial of Service Attacks]]

<code>
! Core NTP configuration
!
! NTP access control
!
access-list 1300 remark utility ACL to block everything
access-list 1300 deny any
!
access-list 1301 remark NTP peers/servers we sync to/with
access-list 1301 permit 192.0.2.10
access-list 1301 permit 192.0.3.10
access-list 1301 deny any
!
access-list 1302 remark Hosts/Networks we allow to get time from us
access-list 1302 permit 192.0.2.0  0.0.0.255
access-list 1302 permit host 192.168.12.12
access-list 1302 deny any
!
! deny all NTP control queries
ntp access-group query-only 1300
!
! deny all NTP time and control queries by default
ntp access-group serve 1300
!
! permit time sync to configured peer(s)/server(s) only
ntp access-group peer 1301
!
! permit NTP time sync requests from a select set of clients
ntp access-group serve-only 1302
!
! Core NTP configuration
ntp server 192.0.2.10
ntp server 192.0.3.10
!
</code>

Zde je doplnění pro IPv6:
<code>
!
ip access-list extended acl-ntp
  remark NTP IPv4 deny
  deny ip any any
!
ipv6 access-list acl-ntp6
   remark NTP IPv6 deny
   deny ipv6 any any
!
ntp access-group serve-only acl-ntp
ntp access-group ipv6 serve-only acl-ntp6
!
</code>

Pokud směrovače mají poskytovat službu, je třeba do obou ACL před poslední ''deny'' doplnit ''permit'' pro povolenou síť.

----

Tento příspěvek sem poslal 7.4.2014 Josef.Verich@cesnet.cz:

Do některých nových SW na Cisco boxech se při doplňování NTP filtrů i pro IPv6 se dostala chyba popsaná v CSCuj66318, která povolí poslat požadavek o monitorovací údaje (NTP mode 6 a 7).

Zdá se, že se jedná o všechny verze IOS a IOS-XE, které umožňují zadat 
příkazy
<code>
	ntp access-group ipv6 ...
</code>
V IOS-XR je to v pořádku. Stejně tak i v těch starších verzích.

Komunikace mode 6 a 7 je v těch nových verzích blokována pouze pro 
stroje, které jsou povolené v access-listu použitém pro "serve-only".

To sice způsobí, že ten box povolí NTP komunikaci mode 3 a 4 s kýmkoli, 
ale mode 6 a 7 je blokovaný. Takže ke zneužití pro zesílení útoků se to 
nedá použít.

Proto jsem na boxy, které mají verzi IOS postiženou tímto neduhem, 
použil následující template s workaroundem.

<code>
! Core NTP configuration
!
! NTP access control
!

ip access-list standard ntp_peer_ipv4
 remark NTP peers/servers we sync to/with
 permit 192.0.2.10
 permit 192.0.3.10
 deny   any

ip access-list standard ntp_query-only_ipv4
 remark utility ACL to block everything
 deny   any

ip access-list standard ntp_serve-only_ipv4
 remark Hosts/Networks we allow to get time from us
 permit 192.0.2.0 0.0.0.255
 permit 192.168.12.12
!
 remark Workaround bugu CSCuj66318.
 remark Po jeho vyreseni muze byt radek "permit any" odstranen.
 permit any
!
 deny   any

ip access-list standard ntp_serve_ipv4
 remark utility ACL to block everything
 deny   any

ipv6 access-list ntp_peer_ipv6
 remark NTP peers/servers we sync to/with
 deny ipv6 any any

ipv6 access-list ntp_query-only_ipv6
 remark utility ACL to block everything
 deny ipv6 any any

ipv6 access-list ntp_serve-only_ipv6
 remark Hosts/Networks we allow to get time from us
!
 remark Workaround bugu CSCuj66318.
 remark Po jeho vyreseni muze byt radek "permit ipv6 any any" odstranen.
 permit ipv6 any any
!
 deny ipv6 any any

ipv6 access-list ntp_serve_ipv6
 remark utility ACL to block everything
 deny ipv6 any any

ntp access-group peer ntp_peer_ipv4
ntp access-group serve ntp_serve_ipv4
ntp access-group query-only ntp_query-only_ipv4
ntp access-group serve-only ntp_serve-only_ipv4

ntp access-group ipv6 peer ntp_peer_ipv6
ntp access-group ipv6 serve ntp_serve_ipv6
ntp access-group ipv6 serve-only ntp_serve-only_ipv6
ntp access-group ipv6 query-only ntp_query-only_ipv6


! Core NTP configuration
ntp update-calendar
ntp server 192.0.2.10
ntp server 192.0.3.10
ntp source Loopback0
!  
</code>

----

**NTP na Unixových/Linuxových strojích**

[[https://www.us-cert.gov/ncas/alerts/TA14-013A | UDP-based Amplification Attacks]]

[[http://support.ntp.org/bin/view/Main/SecurityNotice|NTP Security Notice]]

----

Od 16.11.2011 rozesílá Shadowserver zprávy typu **D - Drone Report** s hlášením o trojském koni DNSchanger.

Příklad:
<code>
10.1.2.3 4567 -> 192.168.123.45 53 (dnschanger) 2011-11-15_09:44:14 D
</code>

DNSchanger se snaží na PC, Macu nebo dokonce i na síťovém hardwaru (ADSL router apod.) přesměrovat DNS služby na servery, které ovládají útočníci - viz např.

[[http://www.net-security.org/article.php?id=1150]]

[[http://reviews.cnet.com/8301-13727_7-57322316-263/fbi-tackles-dnschanger-malware-scam/]]

Pokud se tato hlášení týkají jen oficiálních DNS serverů vaší organisace, je to v pořádku. Pokud se hlášení týkají uživatelských stanic nebo síťového hardwaru, je třeba je zkontrolovat.

Pokud si přejete, aby SSERV ignoroval hlášení o DNSchangeru pro některé vaše stroje (DNS servery), napište laskavě na [[sserv@cesnet.cz | tuto adresu]].

----

Všechny zprávy, které systém CESNET SSERV rozesílá, jsou generovány automaticky, takže na ně nemusíte odpovídat.