O projektu

Systém Warden představuje způsob efektivního sdílení informací o detekovaných událostech (hrozbách). V současné době je vyvíjen, testován a provozován především pro potřeby sítě národního výzkumu a vzdělávání CESNET2, kterou provozuje sdružení CESNET, pro jeho členy a další zapojené instituce. V blízké budoucnosti je však plánován rozvoj systému Warden jako otevřeného projektu.

Mnohé CERT/CSIRT týmy se v současné době intenzivně věnují provozu a vývoji užitečných nástrojů a systémů v oblasti monitorování síťového provozu, služeb a odhalování jejich anomálií. Tyto nástroje bývají založeny na bázi NetFlow, IDS, honeypotů, analýzy logů atd. Jejich výstupy pak CERT/CSIRT týmy používají pro svou potřebu a zabezpečení své sítě. Tato data a informace by ale mohla být využita i dalšími bezpečnostními týmy působícími v jiných sítích. Data ale nejsou v současné době dostupná a týmy je ani zpřístupnit nemohou, protože není dostupný jednoduchý systém pro jejich efektivní a bezpečné sdílení.

Bezpečnostní týmy tak stojí před nepříjemných dilematem. Data mohou buď rozeslat správcům, případně bezpečnostním týmům sítí, kterých se dotýkají. Dále je mohou „zahodit“, nebo v lepším případě zaslat do velkých sběrných míst typu Shadowserver, Mynetwatchman, Team Cymru atd. První cesta, rozeslání relevantním správcům, je velmi náročná a může vytvořit tolik další režie, kterou nebude dotčený tým schopen s rozumnými náklady zvládnout. Druhá cesta, zahození dat, znamená neefektivní plýtvání užitečnými daty a v horším případě i ignorování rostoucí bezpečnostní hrozby. Třetí cesta, sběrné místo, představuje nouzové řešení přinášející četná negativa, které musí týmy pečlivě zvážit. Jaká data je do podobných míst možné a vhodné zaslat? Existuje záruka, že bude s daty vhodně nakládáno? Nebude zbytečně docházet ke zpožďování a zkreslování?

V této situaci přichází ke slovu systém Warden, který umožňuje jednoduše a efektivně CERTS/CSIRT (obecně bezpečnostním) týmům sdílet a využívat informace o detekovaných anomáliích z provozu sítí a služeb. Správci sítí do něj mohou na dobrovolné bázi zasílat data o detekovaných hrozbách (které se primárně nemusí týkat jejich sítě) a naopak si stahují data, která je zajímají a jsou užitečná pro zajištění zdraví a bezpečnosti sítě pod jejich správou.

Cíle projektu Warden

Roadmapa projektu Warden

2016

2016 Warden 3 se stává výchozí platformou v projektu SABU

2015

Q1 2015 Vydání balíčků Warden 3.0

2014

Q4 2014 Vydání balíčků Warden 2.2
Q3 2014 Vytvoření flexibilního datového formátu IDEA

2013

Q4 2013 Vydání balíčků Warden 2.1
Q3 2013 Vydání balíčků Warden 2.0

2012

Q1 2012 Vydání balíčků Warden 1.2.0
Q1 2012 Vydání balíčků Warden 1.1.0
Q1 2012 Vydání testovacího balíčku Warden 0.1.0 beta

2011

Q3 2011 Začátek projektu Warden

Use-casy projektu Warden

Obrana vlastní sítě před vnějšími útočníky

Díky datům ze systému Warden lze posílit obranu vlastní sítě několika způsoby. Jedním z nich je využíti dat nástroji třetích stran, jako je fail2ban. V tomto případě jsou v nástroji využita data o detekovaných útocích v jiných zapojených sítích a útočníci jsou preventivně zablokováni ještě před útokem na vlastní síť. V obecném pohledu pak lze systém Warden použít jako “český” blacklist pro v síti používané nástroje.

Odhalování napadených strojů z vlastní sítě

Data ze systému Warden lze také použít pro hledání napadený a špatně nakonfigurovaných strojů ve vlastní síti. Dobrým příkladem je využití dat z honeypotů ostatních zapojených organizací. V nich lze hledat IP adresy strojů z vlastní sítě a vůči nim poté podniknout patřičná opatření. Obecně lze hledat jakékoliv události, kde jsou IP adresy z rozsahu vlastní sítě v pozici útočníka.

Výzkumné a experimentální účely

Data ze systému Warden je možné využít mimo běžných provozních aplikací také k experimentálním a výzkumným účelům. Velké množství dat je ideální pro hledání a ověřování různorodých korelací mezi událostmi. Například lze ověřovat souvislosti mezi útoky na jednotlivé instituce a získat tak podstatně větší obraz aktivity útočníků. Další možností je vytvoření reputační databáze IP adres (nebo rozsahů či autonomních systémů).

Zajímavou aplikací je i experimentální detektor p2p botnetů. Ten každou adresu komunikující s určitým množstvím známých botů označí za pravděpodobného bota a postupně tak odhaluje celou síť. Pro počáteční sadu známých botů byly použity adresy hlášené jako zdroje útoků v systému Wardenu.