IP Guard. Перевірте свою IP-адресу!

24/11/2014

Ще донедавна нам було не відомо про існування бодай якогось джерела інформації (окрім, звісно, «статистики» Євгена Докуніна), яке б відображало фактичний стан «скомпрометованості» національного кіберпростору. Відсутність уявлення про наявні проблеми негативно впливає на можливість формування моделі загроз і розробку адекватних заходів з протидії останнім. У зв’язку із зазначеним CERT-UA розроблено і введено в експлуатацію систему накопичення і обробки інформації про скомпрометовані IP-адреси. Зазначена система отримала назву IP Guard.

 

 

Присутність IP-адреси в системі IP Guard може свідчити про проблеми з обладнанням, якому вона належить. Серед «проблем», зазвичай, можливо виділити такі:

 

- некоректність налаштування обладнання, наявність типових вразливостей;

- ураження шкідливими програмами (вірусами, троянами тощо);

- факти підключення до серверів управління бот-мережами;

- застосування обладнання для проведення DDoS- та інших атак, розсилання/передавання СПАМу, розповсюдження шкідливих програм (мал. 1).

 

 

ipguard

 

Мал. 1

 

Зазначимо, що станом на 24.11.2014 року ми кожного дня отримуємо інформацію про скомпрометовані IP-адреси в Українському Інтернеті з 31 джерела інформації (мережеві пастки, результати реагування на інциденти, CERTи, ІБ-компанії, закордонні дослідницькі інституції  тощо).

 

Практичну роботу було розпочато з дослідження «проблемності» комп’ютерних мереж органів державної влади України (далі — ОДВ). Ініціювавши два доручення Прем’єр-міністра України, CERT-UA зібрала інформацію про публічні IP-адреси ОДВ. Після цього, зібрані IP-адреси було порівняно з IP-адресами, накопиченими в системі IP Guard. Виявилося, що близько 40 % «відомчих» IP-адрес є скомпрометованими (мал. 2). Звертаємо увагу на те, що деякі організації використовують одні й ті самі IP-адреси для виходу в Інтернет, у зв’язку з чим кількість скомпрометованих IP-адрес менша кількості скомпрометованих організацій.

 

40vids

Мал. 2

 

Інформація про об’єкти моніторингу (на сьогодні, це органи державної влади, адже ми маємо уявлення про їх фізичне місцезнаходження і перелік використовуваних IP-адрес, а також деякі оператори/провайдери телекомунікацій) відображена за допомогою підсистеми візуалізації системи IP Guard (мал. 3-4). Червоним кольором відображено об’єкти моніторингу в межах комп’ютерних мереж яких є «проблеми» з інформаційною безпекою.

 

Picture1

Мал. 3

 

map_kiev

 

Мал. 4

 

Зрозуміло, що в односторонньому порядку відпрацювання такої множини фактів компрометації зайняло б дуже багато часу. З метою створення умов для ефективної обробки даних про скомпрометовані IP-адреси, фахівцями CERT-UA було розроблено веб-інтерфейс до системи IP Guard. Наразі, створено всі умови для того, щоб особи, відповідальні за адміністрування комп’ютерних мереж, могли зареєструватися в системі IP Guard та почати отримувати інформацію про проблеми з інформаційною безпекою в їхніх мережах. Деякі скріншоти системи наведено на мал. 5-8.

 

reports

Мал. 5 Головная сторінка. Звіти

 

Picture6

 

Мал. 6 Типи (зміст) звітів

 

Picture4

 

Мал. 7 Налаштування мережі

 

Picture5

 

Мал. 8 Контактні дані

 

Для отримання доступу до системи, достатньо зареєструватися за адресою https://ipguard.cert.gov.ua, зазначивши перелік IP-адрес/підмереж, які знаходяться в зоні вашої відповідальності. При реєстрації просимо використовувати ті електронні поштові адреси, які мають відношення до заявленої Вами організації/мережі (наприклад, мають відповідне доменне ім’я і/або зазначені у RIPE). Доступ до даних (звітів) системи IP Guard буде надано після перевірки коректності зазначених при реєстрації даних.

 

Користуючись нагодою хотіли б зазначити, що вже є перший позитивний досвід обробки даних системи IP Guard відповідальними особами органів державної влади України. Так, співробітниками Державної казначейської служби України лише після 3 діб, що минули з дати реєстрації в системі, виявлено уражені шкідливими програмами комп’ютери та вжито заходів з їх «лікування».