Toto jsou oficiální stránky systému Mentat jakožto služby provozované v rámci sdružení CESNET, z.s.p.o. bezpečnostním týmem CESNET-CERTS. Oficiální stránky systému Mentat jakožto otevřeného projektu jsou k dispozici zde.

Systém Mentat vznikl jako reakce na velké množství detekčních systémů provozovaných v síti CESNET2. Každý z těchto systémů doposud prováděl zpracování událostí a rozesílání případných hlášení samostatně. Nasbíraná data byla roztroušena mezi velkým množstvím různých systémů a neumožňovala tak další případné zpracování, korelace, statistické analýzy atd.

Díky svému datovému modelu IDEA systém Mentat umožňuje sběr dat a jednotné zpracování informací o bezpečnostních událostech z libovolných detekčních nástrojů. V tuto chvíli fungují z hlediska uživatelů v produkčním režimu následující komponenty:

• Webové rozhraní
• Automatická reportovací služba

Jste-li zástupcem či správcem organizace a máte-li zájem o mailové reporty o bezpečnostních událostech ze systému Mentat, kontaktujte nás prosím na adrese mentat-info@cesnet.cz.

Webové rozhraní systému Mentat poskytuje přístup k interaktivní verzi všech odeslaných reportů, detailní pohled na události, ze kterých jsou reporty generovány, agregované statistiky událostí dle organizace, umožňuje konfiguraci pravidel reportování a zpětnou vazbu.

Máte-li zájem o přístup do webového rozhraní systému Mentat, navštivte prosím hlavní stránku webového rozhraní na https://mentat-hub.cesnet.cz a zaregistrujte si uživatelský účet pod svou federovanou identitou ve federaci eduID.cz. Můžete použít také tento přímý odkaz na registrační stránku. V žádosti uveďte požadovanou organizaci, k jejímž datům chcete v rámci systému Mentat přistupovat a stručné zdůvodnění pro posouzení žádosti. Po ověření Vaší příslušnosti bude Váš účet aktivován a o této skutečnosti budete informováni prostřednictvím emailu.

Webové rozhraní systému Mentat umožňuje spravovat přístupy členů Vašeho bezpečnostního týmu do systému Mentat. Kontaktujte nás prosím na adrese mentat-info@cesnet.cz, po ověření získáte práva pro správu uživatelů ve skupině své organizace.

Webové rozhraní je primárně určené dvěma skupinám uživatelů. Jednak jsou to členové bezpečnostního týmu CESNET-CERTS, kteří ho používají jako pomocný nástroj v procesu incident handlingu. Druhou skupinou cílových uživatelů jsou správci přímo z koncových sítí v síti CESNET2, kteří ho mohou používat ke konfiguraci reportování pro svou síť, pro vyhledávání událostí týkajících se jejich sítě, analýzu statistik událostí a k dalším úkonům.

Další podrobnější informace o webovém rozhraní jsou dostupné na samostatné stránce.

Automatická reportovací služba hlásí zjištěné problémy týkající se strojů a zařízení v síti CESNET2 (AS2852) nebo v definovaných sítích našich partnerů, přímo na odpovědné abuse kontakty v cílové síti. Hlášení ze všech detekčních nástrojů tak mají jednotný formát a přidání dalších zdrojů informací již nyní nevyžaduje prakticky žádnou režii.

Další a podrobnější informace o reportování jsou dostupné na samostatné stránce.

Systém Mentat distribuuje hlášení o bezpečnostních incidentech, která přebírá ze dvou typů zdrojů:

• interní (zdroje patřící institucím Sdružení CESNET)
• externí (zdroje z jiných, nyní jen zahraničních institucí).

Interní zdroje Mentatu:

• Systémy FTAS a G3
• Fail2Ban (CESNET Praha; hlášení o strojích, ze kterých odmítáme přijmout el. poštu, posílá Mentatu v 5minutových intervalech)
• Honeypot Dionaea (CESNET Praha; hlášení o pokusech o připojení posílá v hodinových intervalech)
• SSH Honeypot Kippo (CESNET Praha; hlášení o pokusech o připojení na SSH posílá v hodinových intervalech)
• Honeypot LaBrea „CESNET IDS“ (CESNET; hlášení o pokusech o připojení posílá v hodinových intervalech)
• Honeypot LaBrea „CSIRT.CZ“ (CESNET; hlášení o pokusech o připojení posílá v hodinových intervalech)
• Systém Warden (CESNET) předává Mentatu hlášení z těchto dalších zdrojů:
  • Dionaea (TU Liberec)
  • Fail2Ban (VŠB Ostrava: hlášení o útocích SSH Bruteforce)
  • Honeyscan (MU Brno)
  • Kippo (TU Liberec)
  • Kippo (VŠB Ostrava)
  • Kippo (ZČU Plzeň)
  • LaBrea (ZČU Plzeň)
  • Nemea (CESNET)
  • Phigaro (MU Brno)
  • porušování autorských práv v sítích P2P (VŠB Ostrava).

Všechna data, která detekují stroje CESNETu, považujeme za zcela důvěryhodná.

Externí zdroje Mentatu:

• Polský národní bezpečnostní tým CERT.PL provozuje systém N6 (Network Security Incident eXchange), který shromažďuje a distribuuje data, která se týkají zejména polských sítí a domén. Pro CESNET jsou užitečné jen záznamy o útocích přicházejících z AS2852. CERT.PL rozesílá několik desítek typů hlášení; každý typ rozesílá max. 1* za 24 hodin. Hlášení CERT.PL zpracovává systém CESNET N6.
• Celoevropská síť GÉANT provozuje systém NSHARP, který detekuje bezpečnostní události a informuje o nich správce sítí NREN. NSHARP v současnosti běží v testovacím režimu.
• Nadace Shadowserver - americká nezisková organisace složená z dobrovolníků, která distribuje několik desítek typů hlášení zejména o zranitelných strojích; tyto informace získává aktivním scanem, monitorováním síťového provozu celosvětového Internetu a také od spolupracujících organisací. Informace o incidentech v AS2852 rozesílá každých 24 hodin (obvykle se zpožděním 24 - 48 hodin). Hlášení Shadowserveru zpracovává systém SSERV.
• Projekt UCEPROTECT-NETWORK detekuje přijatý spam a špatně nakonfigurované poštovní servery. Hlášení o incidentech v AS2852 rozesílá každých 24 hodin; přijímá a zpracovává je systém CESNET UCEPROT.
• Významná bezpečnostní organisace, která si nepřeje být jmenována, detekuje a rozesílá informace o bezpečnostních problémech a podezřelém síťovém provozu. Informace o incidentech v AS2852 předává systému CESNET X2 každý (nebo téměř každý) pracovní den.
• Bezpečnostní tým firmy Microsoft posílá Vládnímu CERTu ČR informace o virech a síťových červech detekovaných v ČR. Informace o incidentech v AS2852 posílá GovCERT.CZ systému CESNET X4 každý pracovní den ráno.

V průběhu roku 2014 jsme zjistili, že určitý typ incidentů, které Microsoft hlásí GovCERTu.CZ, obsahuje zfalšované zdrojové IP adresy. Tento typ incidentů tedy ignorujeme; ostatní typy incidentů od všech externích zdrojů považujeme za důvěryhodné.

• Potřeba sbírat a uchovávat data o bezpečnostních incidentech plyne za Zákona 181/2014 Sb. o kybernetické bezpečnosti.
• Nasbíraná data nám umožňují:
  • rozpoznat provozní i bezpečnostní problémy (přetížení okruhu, špatná konfigurace firewallů nebo serverů umožňující zneužití k útokům typu DoS/DDoS, …). Zjištěná data mohou umožnit odstranění problémů dříve, než jich využijí útočníci;
  • rozpoznat pokusy o zneužití infrastruktury a dat;
  • zpětně určit události, které vedly k bezpečnostním incidentům.

Na stránce Třídy událostí udržujeme aktuální seznam tříd událostí, které se mohou vyskytnout v pravidelných hlášeních od systému Mentat.

Předpokládáme, že správci koncových sítí:

• přijmou hlášení systému Mentat
• zhodnotí relevanci a důležitost hlášených incidentů
• bez zbytečného zpoždění opraví, co je třeba
• pro incidenty kategorie 2 a 3 včas odpoví, co zjistili a jak problém vyřešili.

Správce sítě samozřejmě může požádat pracovníky CESNET-CERTS o konsultaci/pomoc při řešení problému. Pokud si je správce koncové sítě jist, že ohlášený incident není důležitý a/nebo ho nelze opravit, může požádat o ignorování daného typu hlášení na příslušné IP adrese. Přitom by měl uvážit širší souvislosti uvedené v následujícím bodě.

Některé druhy bezpečnostních problémů zdánlivě představují velmi malé nebezpečí. Jako příklad lze uvést:

• otevřený rekursivní DNS resolver („DNS funguje, nemáme čas řešit nic dalšího“)
• zranitelnost POODLE na webovém serveru („žádná tajná data tam nemáme, problém se nás netýká“).

Dlouhodobé ignorování problému ale může způsobit např toto:

• otevřený rekursivní resolver bude zneužit při útoku DDoS společně s desetitisíci dalších podobně zanedbávaných strojů
• na webovém serveru bude později nainstalována nové služba s důležitými daty; ta se pak dostanou do nepovolaných rukou.

To všechno pak může pokazit dobrou pověst příslušné instituce i celé sítě CESNET2.

Důležité je i to, že CESNET-CERTS odpovídá za celou síť CESNET2, nejen za její interní infrastrukturu - viz https://csirt.cesnet.cz/. Pracovníci CESNET-CERTS tedy nemohou nečinně přihlížet, pokud vidí dlouhodobě neřešené problémy.

Z hlediska správců páteřní sítě i správců koncových sítí připojených k síti CESNET2 rozlišujeme tyto 4 kategorie závažnosti:

Pozn.: Koncept 20150701; připomínky jsou vítány.

Za vysoce nebezpečné považujeme tyto druhy incidentů:

• útoky DoS/DDoS (ověřená hlášení, nikoli všechna přijatá automatická hlášení)
• nesprávná konfigurace umožňující silné útoky DoS (Scan NTP Monitor, SNMP, SSDP)
• zkompromitovaná infrastruktura sítě.

Za středně nebezpečné považujeme:

• útoky na SSH a RDP
• zkompromitované stroje, botnety všeho druhu
• potenciální ohrožení infrastruktury - OpenNTP, HeartBleed, NAT-PMP
• porušování autorských práv.

Za málo nebezpečné považujeme:

• málo kritický síťový provoz
• spam, backscatter
• méně často zneužívaná špatná konfigurace stroje - CHARGEN, QOTD.

Interní zdroje CESNETu:
Název        závažnost hlášení
Dionaea             1
Fail2Ban Ostrava    2
Fail2Ban Praha      1
Honeyscan           1
Hoststats           1
HPScan              ???
Kippo               2
LaBrea              1 - 2
Nemea               1
RDPmonitor          2
ScanDetector        ???
SSHBruteforce       2

Externí zdroje:
Název                    závažnost hlášení
N6 - Andromeda                  2
N6 - Arakis                     1
N6 - Bots                       2
N6 - Bots Zeus P2P              2
N6 - Citadel                    2
N6 - Cutwail                    2
N6 - CERT Polska Sinkhole       2
N6 - Citadel Sinkhole           2
N6 - Cloudflare DDoS            3
N6 - Compromised CMS            2
N6 - Compromised Routers        3
N6 - DarkHotel                  3
N6 - Dorkbot                    2
N6 - Energetic Bear             3
N6 - Geodo Trojan               2
N6 - Heartbleed                 2
N6 - Kelihos                    2
N6 - MalURL                     2
N6 - Moure                      2
N6 - Open NTP                   2
N6 - Pushdo                     2
N6 - Quakbot                    2
N6 - Rovnix                     2
N6 - Shell Accounts             2
N6 - Tinba                      2
N6 - Victim Zeus                2
N6 - Virut                      2
N6 - Zeroaccess                 2
N6 - Zeus                       2
N6 - Zeus Gameover              2
N6 - Power Zeus                 2

SSERV - Botnet Proxy            2
SSERV - Command and Control     2
SSERV - Compromised Website     2
SSERV - Drone                   2
SSERV - Microsoft Sinkhole      2
SSERV - Open Proxy              2
SSERV - Open DNS Resolver       2
SSERV - Sandbox URL             1
SSERV - Scan CHARGEN            1
SSERV - Scan IPMI               3
SSERV - Scan MEMCACHED          2
SSERV - Scan MongoDB            2
SSERV - Scan NAT-PMP            2
SSERV - Scan NETBIOS            2
SSERV - Scan NTP                2
SSERV - Scan NTP Monitor        3
SSERV - Scan QOTD               1
SSERV - Scan SNMP               3
SSERV - Scan SSDP               3
SSERV - Scan SSL-FREAK          2
SSERV - Sinkhole HTTP Drone     2
SSERV - Sinkhole HTTP Referer   1
SSERV - Spam URL                1
SSERV - SSL Scan                1 - 2

UCEPROT - Backscatter           1
UCEPROT - Spam                  1

X2 - Bots                       2
X2 - BruteForce                 2
X2 - Malware URL                2
X2 - Open Resolver              2
X2 - Phishing                   2
X2 - Proxy                      2
X2 - Scanners                   2
X2 - Spam                       1

X4 - B46-Simda                  2
X4 - B49-Waledac                2
X4 - B54-Citadel                2
X4 - B58-Bamital                2
X4 - B68-Zeroaccess             2
X4 - B71-Zeus/Zbot              2
X4 - B79-Kelihos                2
X4 - B93-Caphaw                 2
X4 - B106-Různé                 2
X4 - B107-Rustock               2
X4 - B157-Gameover Zeus         2
X4 - Conficker                  2

Pozn.: Koncept 20150701; připomínky jsou vítány.

Za vysoce nebezpečné považujeme tyto druhy incidentů:

• útoky DoS/DDoS
• zkompromitovaná infrastruktura sítě
• zkompromitované stroje, botnety všeho druhu, phishing, spam
• nesprávná konfigurace služeb umožňující silné útoky DoS (Scan NTP Monitor, SNMP, SSDP).

Za středně nebezpečné považujeme:

• BruteForce útoky na SSH a RDP
• potenciální ohrožení infrastruktury - OpenNTP, Open Resolver, HeartBleed, NAT-PMP, IPMI
• MalwareURL, SandboxURL
• porušování autorských práv.

Za málo nebezpečné považujeme:

• málo kritický síťový provoz
• backscatter, SpamURL
• méně často zneužívaná špatná konfigurace stroje - CHARGEN, QOTD.

Interní zdroje CESNETu:
Název        závažnost hlášení
Dionaea             2
Fail2Ban Ostrava    2
Fail2Ban Praha      2
Honeyscan           2
Hoststats           1
Kippo               2
LaBrea              2
Nemea               2

Externí zdroje:
Název                    závažnost hlášení
N6 - Andromeda                  2
N6 - Arakis                     2
N6 - Bots                       3
N6 - Bots Zeus P2P             3
N6 - Citadel                    3
N6 - Cutwail                    3
N6 - CERT Polska Sinkhole       2
N6 - Citadel Sinkhole           3
N6 - Cloudflare DDoS            3
N6 - Compromised CMS            3
N6 - Compromised Routers        3
N6 - DarkHotel                  3
N6 - Dorkbot                    3
N6 - Energetic Bear             3
N6 - Geodo Trojan               2
N6 - Heartbleed                 2
N6 - Kelihos                    3
N6 - MalURL                     2
N6 - Moure                      3
N6 - Open NTP                   2
N6 - Pushdo                     2
N6 - Quakbot                    3
N6 - Rovnix                     3
N6 - Shell Accounts             3
N6 - Tinba                      3
N6 - Victim Zeus                3
N6 - Virut                      3
N6 - Zeroaccess                 3
N6 - Zeus                       3
N6 - Zeus Gameover              3
N6 - Power Zeus                 3

SSERV - Botnet Proxy            2 - 3
SSERV - Command and Control     2
SSERV - Compromised Website     3
SSERV - Drone                   2 - 3
SSERV - Microsoft Sinkhole      2 - 3
SSERV - Open Proxy              2 - 3
SSERV - Open DNS Resolver       2
SSERV - Sandbox URL             2
SSERV - Scan CHARGEN            1
SSERV - Scan IPMI               3
SSERV - Scan MEMCACHED          2
SSERV - Scan MongoDB            2
SSERV - Scan NAT-PMP            2
SSERV - Scan NETBIOS            2
SSERV - Scan NTP                2
SSERV - Scan NTP Monitor        3
SSERV - Scan QOTD               1
SSERV - Scan SNMP               3
SSERV - Scan SSDP               3
SSERV - Scan SSL-FREAK          2
SSERV - Sinkhole HTTP Drone     2 - 3
SSERV - Sinkhole HTTP Referer   1
SSERV - Spam URL                1
SSERV - SSL Scan                1 - 2

UCEPROT - Backscatter           1
UCEPROT - Spam                  3

X2 - Bots                       3
X2 - BruteForce                 2
X2 - Malware URL                2
X2 - Open Resolver              2
X2 - Phishing                   3
X2 - Proxy                      2 - 3
X2 - Scanners                   2 - 3
X2 - Spam                       3

X4 - B46-Simda                  3
X4 - B49-Waledac                3
X4 - B54-Citadel                3
X4 - B58-Bamital                3
X4 - B68-Zeroaccess             3
X4 - B71-Zeus/Zbot              3
X4 - B79-Kelihos                3
X4 - B93-Caphaw                 3
X4 - B106-Různé                 3
X4 - B107-Rustock               3
X4 - B157-Gameover Zeus         3
X4 - Conficker                  3

Systém Mentat rozesílá pravidelná hlášení o bezpečnostních incidentech elektronickou poštou na kontaktní adresy správců zodpovědných za bezpečnost daných sítí. RIPE DB tuto kontaktní adresu hlásí na počátku výpisu informací o každé síti takto:

> % Information related to '195.113.0.0 - 195.113.69.79'
>
> % Abuse contact for '195.113.0.0 - 195.113.69.79' is 'abuse@cuni.cz'
>
> inetnum:        195.113.0.0 - 195.113.69.79
> netname:        CUNI-T34CZ
> descr:          Charles University
> descr:          Prague
> (...)

Každé hlášení Mentatu obsahuje incidenty přijaté za dané časové období a s danou úrovní závažnosti ze všech interních i externích zdrojů. Více informací o tomto způsobu reportování lze nalézt na samostatné stránce.