====== Systém X2 sítě CESNET2 ======

Bezpečnostní tým [[http://csirt.cesnet.cz/| CESNET-CERTS]] získal přístup k informacím významné bezpečnostní společnosti o problémech a podezřelém síťovém provozu v síti CESNET2. Tyto informace pravidelně distribuuje příslušným správcům všech sítí členů a zákazníků CESNETu, z.s.p.o.. K tomu slouží systém CESNET X2, který je v provozu od ledna 2013.

Zmíněná bezpečnostní společnost uvádí, že dokáže detekovat 24 druhů bezpečnostních incidentů. CESNET-CERTS od ní zatím dostal tato hlášení o síti CESNET2:

  * **Bots** - hlášení o infikovaných strojích, které jsou součástí botnetů.
  * **Bruteforce** - hlášení o strojích, které se snažily prolomit heslo hrubou silou.
  * **Malware URL** - hlášení o nebezpečném obsahu na infikovaných strojích.
  * **Open Resolver** - hlášení o otevřených rekursivních DNS resolverech. (Podrobné informace o tomto druhu hlášení najdete v popisu projektu [[https://csirt.cesnet.cz/cs/services/orr|CESNET ORR]], jehož činnost teď končí.)
  * **Phishing** - hlášení o URL, které se používá k podvodnému získání přihlašovacích údajů k poštovnímu účtu, internetovému bankovnictví apod. 
  * **Proxy** - hlášení o otevřeném proxy serveru na (typicky) zkompromitovaném počítači.
  * **Scanners** - hlášení o strojích, které scanovaly porty počítačů v Internetu - obvykle proto, aby našly určité síťové služby a mohly je poškodit.
  * **Spam** - hlášení o infikovaných strojích, které rozesílají nevyžádanou hromadnou poštu a které detekoval [[http://cbl.abuseat.org|Composite Blocking List (CBL)]]. Informace o typu infekce lze zjistit [[http://cbl.abuseat.org/lookup.cgi|zde]].

Hlášení, která rozesílá CESNET X2, jsou setříděna podle IP adres podezřelých/infikovaných strojů a podle času. Časové pásmo = GMT. Typ incidentu, o který se jedná, je uveden na konci každé řádky hlášení takto:

==== Bots ====

Význam polí záznamu:

IP adresa stroje | čas | bots: typ malwaru (+ příp. další informace)

Příklady:
<code>
192.0.2.11 | 2013-01-14_07:34:34 | bots: srcport 16528 mwtype Conficker destaddr 198.51.100.127

192.0.2.12 | 2013-01-16_08:10:17 | bots: srcport 1025 mwtype irc-botnet
</code>

==== Bruteforce ====

Význam polí záznamu:

IP adresa stroje | čas | bruteforce: služba

Příklad:

  192.0.2.21 | 2013-06-03_12:25:35 | bruteforce: ssh

==== Malware URL ====

Význam polí záznamu:

IP adresa stroje | čas | malwareurl: URL

Příklad:

  192.0.2.31 | 2013-01-15_13:56:53 | malwareurl: hXXp://www.example.org/doc/index.html

==== Open Resolver ====

Význam polí záznamu:

IP adresa otevřeného rekursivního DNS | čas | openresolver

Příklad:

  192.0.2.41 | 2013-01-16_06:14:20 | openresolver

==== Phishing ====

Význam polí záznamu:

IP adresa stroje obsahujícího podvodné URL | čas | phishing: URL

Příklad:

  192.0.2.51 | 2015-01-05_16:32:49 | phishing: hXXp://evil.org/update 

==== Proxy server ====

Význam polí záznamu:

IP adresa proxy serveru | čas | proxy: typ (+ příp. další informace)

Příklad:
<code>
192.0.2.51 | 2013-02-27_13:32:11 | proxy: SOCKS4 (21147)

192.0.2.52 | 2014-03-20_13:52:37 | proxy: HTTP CONNECT (21320)
</code>

==== Scanners ====

Význam polí záznamu:

IP adresa stroje | čas | scanners: cílový port/protokol

Příklad:

  192.0.2.61 | 2013-01-17_02:03:18 | scanners: 5900/tcp

==== Spam ====

Význam polí záznamu:

IP adresa stroje | čas | spam: cbl

Příklad:

  192.0.2.71 | 2013-01-17_13:02:06 | spam: cbl

----

CESNET-CERTS hodlá projekt X2 dále rozvíjet podle potřeb uživatelů. Pokud budete mít zájem, napište laskavě na tuto adresu [[x2@cesnet.cz]]. CESNET X2 už nyní nabízí tyto možnosti:
  * posílat vám nejen standardní dopis se všemi incidenty ve vaší síti, ale i dílčí kopie tohoto dopisu, z nichž každá obsahuje incidenty týkající se jediné IP adresy
  * úplně ignorovat jednotlivé IP adresy 
  * ignorovat celé sítě pro hlášení otevřených DNS resolverů
  * ignorovat jednotlivé IP adresy pro hlášení otevřených DNS resolverů.

----

Všechny zprávy, které systém CESNET X2 rozesílá, jsou generovány automaticky, takže na ně nemusíte odpovídat.