BlackHole. Bezpieczne Repozytorium Ważnych Zasobów.
OPIS OGÓLNY Rozwiązanie jest odpowiedzią na rosnące zagrożenie ze strony wyrafinowanych wirusów, które wykorzystując sieć komputerową szyfrują dostępne pliki. Jedynym rozsądnym zabezpieczeniem przed skutkami takiego zdarzenia jest posiadanie kopii offline (tzn. odłączonej od sieci) ważnych zasobów. Jednocześnie wykonywanie takiej kopi jest trudne do zautomatyzowania, a zaniechanie np. okresowej wymiany nośników powoduje znaczne zmniejszenie skuteczności takiej ochrony. System BlackHole jest zautomatyzowanym rozwiązaniem w ramach którego funkcjonują dwa magazyny na dane. Magazyn 'kwarantanna' który jest dostępny przez ściśle wskazany mechanizm sieciowy, oraz magazyn 'bezpieczny' który nie jest wogóle dostępny poprzez sieć. Funkcjonujące mechanizmy przenoszą zdefiniowane zasoby archiwalne pomiędzy 'kwarantanną' a magazynem 'bezpiecznym'. Odzyskanie zasobów z magazynu 'bezpiecznego' wymaga fizycznego dostępu do urządzenia oraz posiadania odpowiednich uprawnień w jego systemie. Przesyłanie danych do 'kwarantanny' odbywa się z wykorzystaniem protokołu sftp. Autoryzacja użytkownika odbywa się w oparciu o klucz SSH, którego część publiczną należy umieścić w odpowiednim miejscu systemu. Pliki przesłane do 'kwarantanny' po przeniesienu do magazynu 'bezpiecznego' są z kwarantanny usuwane. Próba przesłania pliku bez jego uprzedniej definicji powoduje jego usunięcie bez zachowywania. System nie dopuści do nadpisania w magazynie 'bezpiecznym' już istniejącego pliku. Dodatkowe zabezpieczenie w postaci wyodrębnionego segmentu sieci z zaporą sieciową regulującą ruch podnosi odporność rozwiązania. System BlackHole wyposażono także w mechanizm kontroli plików-wabików. Pliki takie w swej oryginalnej postaci są zdeponowane w katalogu wzorców. Po wgraniu do określonego zasobu wersji takiego pliku pochodzącej z systemu potencjalnie wystawionego na ryzyko następuje kontrola zgodności. Jeżeli system wykryje niezgodność pomiędzy wzorcem a przesłanym plikiem zatrzymuje proces "wchłaniana" plików tym samym minimalizuje możliwość utraty poprawnych archiwów. System zaprojektowano do współpracy z BackON II oraz innymi tego typu systemami pozwalającymi na automatyzację monitoringu plików (co do ich obecności). Powiadomienie o sytuacji alarmowej następuje kanałami dostępnymi w takim systemie (w przypadku BackON II może to być e-mail oraz sms do wskazanych pracowników firmy)
Obsługa rozwiązania: Zadania administracyjne systemu BlackHole wykonuje użytkownik 'manager' (hasło przekazane przy wdrożeniu). 1. Definiowanie zabezpieczanych plików i ich retencji Definiowanie zabezpieczanych plików polega na określeniu STAŁEGO fragmentu nazwy przesyłanego pliku oraz określenia ilości zachowywanych jego kolejnych kopii. Dla przykładu: serwer codzienie wysyła do BlackHole archiwum dokumentów o nazwie DokumentyXXYYZZZZHHMM.7z gdzie XXYYZZZZHHMM to zakodowana data i godzina powstania archiwum. Z uwagi na jego objętość podjęto decyzję utrzymywania 5 ostatnich kopii. Odpowiedni wpis w pliku /home/manager/skrypty/wykaz_pliki będzie miał postać: Dokumenty:5 (uwaga! Wielkość liter ma znaczenie) Bez poprawnej definicji pliku system będzie przesłane pliki USUWAŁ! 2. Konfiguracja klienta sieciowego. Do poprawnego współdziałania z BlackHole klient wymaga wygenerowanego certyfikatu SSH. Generowanie certyfikatu przeprowadza się przy pomocy narzędzia puttygen.
Należy zwrócić uwagę na generowanie klucza w wersji SSH-2 RSA oraz jego długość : 4096. Pole: Key commnet można wypełnić dowolnym ciągiem zawierającym nazwę np. Serwera dla którego klucz jest wygenerowany. Zawartość okienka "Public key for pasting into OpenSSH authorized_keys file" należy zapisać w pliku tekstowym (zaznaczyć wszystko i skopiować). Wygenrowane klucze: publiczny i prywatny należy zapisać w znanej lokalizacji. Zawartość okienka zapisaną w pliku tekstowym należy przenieść na serwer BlackHole i dopisać na końcu pliku /home/kwarantanna/kopia/.ssh/authorized_keys. Po tej operacji możliwe będzie skorzystanie z narzędzia psftp.exe z pakietu PuTTY (dla systemów z rodziny Windows). 3. Zbieranie i przesyłanie danych W momencie wdrożenia przygotowany zostaje wzorcowy skrypt który umożliwia przesłanie archiwum do serwera BlackHole. Skrypt ten następnie uruchamiany jest z poziomu harmonogramu systemowego. Dla systemu Windows wykorzystane zostaje oprogramowanie Putty oraz 7-Zip wraz ze skryptami sterującymi przesyłem danych. Wdrażając kolejne źródło danych (serwer źródłowy) należy pamiętać o przygotowaniu odrębnego klucza SSH i adekwatnej modyfikacji wzorcowych skryptów. 4. Kontrola pracy systemu Zaleca się okresową kontrolę pracy systemu, szczególnie kontrolę wykorzystania miejsca na dysku przez zasób /home/kopie_bezpieczne. Jeśli ulega on przepełnieniu należy ponownie przeanalizować zasady retencji danych i zmodyfikować ustawienia opisane w pkt.1 Z uwagi na zasadę minimalizacji dostępu sieciowego wszelkie operacje administracyjno-kontrolne należy wykonywać przy pomocy konsoli urządzenia. 5. Mechanizm wykrywania niechcianej ingerencji. Na wyznaczonych zasobach w sieci umieszcza się potencjalnie atrakcyjne dla wirusa pliki (typu doc,xls), które cyklicznie (odrębnym harmonogramem) wysyła się do BlackHole. Oryginalne wersje tych plików wgrywa się do katalogu /home/manager/skrypty/wzorce. System BlackHole dokonuje okresowego sprawdzenia zgodności wgranych wabików z ich wzorcami w przypadku wykrycia zmian wystawia plik alarm możliwy do zwrotnego pobrania przez system zewnętrzny. Po wystawieniu pliku alarm system BlackHole ignoruje kolejne przesyłane pliki w ten sposób dotychczasowo przesłane do /home/kopie_bezpieczne pliki pozostają
nienaruszone. Usunięcie stanu alarmu polega na ręcznym usunięciu z /home/manager/skrypty oraz /home/kwarantanna/pliki pliku o nazwie alarm. Dowolny system zewnętrzny będący w stanie monitorować obecność pliku można użyć do powiadamiania właściwych osób o sytuacji alarmowej (w przypadku systemu BackONII można wykorzystać zarówno e-mail jak i sms).
Formularz wdrożeniowy systemu BlackHole Adres IP serwera BlackHole............... Hasło użytkownika root Hasło użytkownika manager Zastosowano firewall Zastosowano monitoring stanu Osoby powiadamiane o stanie [ ] tak [ ] nie [ ] tak, host:............... [ ] nie [ ] brak 1.... 2.... 3.... 4.... Wykaz skonfigurowanych zasobów do zabezpieczania wraz ze wskazaniem harmonogramu: (w postaci: nazwa_serwera / zasób / harmonogram )