All posts by admin

eduroam trening – Beograd

Obaveštenja, , , ,

U četvrtak 28. aprila AMRES u saradnji sa CBP taskom u okviru GEANT4-1 projekta organizuje eduroam trening, kao nastavak inicijative AMRES-a, koja za cilj ima povećanje broja institucija povezanih na eduroam uslugu. Trening je namenjen administratorima AMRES korisnika i sastoji se od teoretskog i praktičnog dela.

Kao rezultat treninga očekuje se bolji nivo razumevanja AAI koncepta kroz primenu u eduroam usluzi. Trening je osmišljen za administratore koji rade ili će raditi na implementaciji RADIUS servera, kao i za one koji žele da steknu ili učvrste svoje znanje. Broj mesta je ograničen na 25, pa je potrebno blagovremeno obezbediti učešće. Registracija će biti otvorena do utorka, 26. aprila.

Više informacija o ovom događaju možete pronaći ovde.

Sigurnost Linux servera

Uncategorized

Linux predstavlja najčešći izbor kada je u pitanju odabir operativnog sistema za serversko okruženje. Granularnost i fleksibilnost u podešavanju, visoke performanse, pouzdanost i sigurnost su neke od komparativnih prednosti u odnosu na druge operativne sisteme. Najveći broj servisa koje akademske institucije nude svojim korisnicima se nalaze upravo na serverima sa Linux operativnim sistemom. Usled ograničene infrastrukture vrlo često se na jednom serveru nalazi više servisa što povećava izazov zaštite Linux servera. Od sistem administratora se očekuje da zaštite server od potencijalnih malicioznih aktivnosti koje bi mogle da ugroze ili kompromituju rad servisa. Ipak, zaštita Linux servera nije jednokratni proces već predstavlja proces koji traje dokle god je server u upotrebi.

Ovaj dokument sadrži smernice i preporuke kojima se sistem administratori mogu voditi prilikom inicijalne instalacije i održavanja Linux operativnih sistema u serverskom okruženju. Cilj dokumenta je da se administratorima pomogne da zaštite server i servise, oslanjajući se na već dostupne sisteme zaštite koje Linux distribucije nude. Dokument opisuje široko rasprostranjene prakse koje su izdržale test vremena i koje pružaju opštu sigurnost u radu Linux servera.

Dokument možete preuzeti ovde.

Međunarnodna dvodnevna radionica posvećena datacentrima – Helsinki, Finska

Obaveštenja, , , ,

Dvodnevna radionica posvećena modernim datacentrima će biti održana 11-12. septembra u glavnom gradu Finske, Helsinkiju. Učesnici će razmatrati mehanizme neophodne za kreiranje “cloud” servisa i organizovanje energetski efikasnog datacentra. Radionica će sadržati više sesija od kojih će svaka biti posvećena određenom aspektu rada datacentra: mreža, sigurnost, troškovi održavanja i sl.

Predavanja sa radionice će biti dostupna uživo putem webcast prenosa.

 

Više informacija o ovom događaju možete pronaći ovde.

 

Sigurnost Linux operativnih sistema

Sastanci

U prostorijama RCUBa je održan prvi security sastanak koji je imao za cilj da se definišu teme koje će da obuhvati prvi CBP dokument koji se bavi zaštitom Linux operativnih sistema.

Prezentaciju sa sastanka možete pronaći ovde.

Na sastanku su učestvovali:

Br. Ime Prezime Institucija
1 Miloš Zdravković RCUB
2 Saša Babić Farmaceutski fakultet
3 Vladimir Miković Mašinski fakultet
4 Predrag Nedeljković Mašinski fakultet
5 Marko Vujković Hemijski fakultet
6 Velimir Kalik Institut za nuklearne neuke “Vinča”
7 Rastko Vasiljević FON
8 Bojan Jovanović FON
9 Jovana Palibrk AMRES
10 Miloš Kukoleča AMRES
11 Bojan Vitnik Fakultet za fizičku hemiju
12 Darko Kozarski Poljoprivredni fakultet
 13 Ivan Ivanović RCUB

 

Implementacija AMRES VPN servisa

Sigurnost, , , , ,

VPN (Virtual Private Network) tehnologija omogućava sigurno povezivanje korisnika na udaljenoj lokaciji sa mrežom njegove matične institucije korišćenjem deljene ili javne mrežne infrastrukture (npr. Internet). Osnovni zahtevi koji se postavljaju pred ovakavim rešenjem su:

  • tajnost podataka – zaštita od neovlašćenog pristupa informacijama,
  • integritet podataка – zaštita od neovlašćene izmene podataka,
  • autentifikacija korisnika – dokazivanje identiteta uređaja na krajevima VPN tunela.

U dokumentu je opisana realizacija AMRES VPN servisa. Ovo rešenje podrazumeva implementaciju SSL/TLS protokola korišćenjem OpenVPN tehnologije čije su osnovnе prednosti korišćenje naprednih algoritama za kriptovanje podataka, jednostavnost prilikom instalacije i održavanja, kao i činjenica da je podržan na gotovo svim danas popularnim platformama. S druge strane, AMRES VPN servis se za realizaciju autentifikacije korisnika oslanja na RADIUS infrastrukturu koja je u AMRES mreži razvijena za potrebe eduroam servisa. U dokumentu je, takođe, data detaljna konfiguracija relevantnih RADIUS servera na FreeRADIUS platformi.

Dokument možete preuzeti ovde.

Filtriranje saobraćaja – uvid u tehnologije i mesta njihove primene u AMRESu

Sigurnost, ,

Cilj ovog dokumenta je da predstavi raspoložive tehnologije filtriranja saobraćaja, njihovu generalnu upotrebu,ali i da ukaže na načine i mesta njihove očekivane primene u hijerarijskoj strukturi AMRES mreže.U želji da se smanje sigurnosne pretnje, u AMRESu se koriste različiti uređaji, tehnologije i tehnike za filtriranjesaobraćaja. Svaka institucija/organizacija koja želi da poboljša efikasnost filtriranjai bezbednost u svojoj mreži treba da se, u skladu sa zahtevima i sopstvenim potrebama, opredeli za tehnologiju i pravila filtriranja saobraćaja koju će da implementira u svojoj lokalnoj mreži. Bolje razumevanje načina na koji se saobraćaj filtrira na pojedinim mestima u AMRES mreži, trebalo bi da olakša definisanje pravila u pojedinačnim institucijama i postizanje bolje usklađenosti pravila svake institucije sa praksom u ostatku mreže. Dokument je namenjen prvenstveno rukovodiocima i onim administratorima koji učestvuju u izradi pravila filtriranja i izboru tehnologije filtriranja za mrežu institucije za koju su odgovorni. Pored toga, dokument može posredno da pomogne mrežnim administratorima u krajnjim institucijama kod identifikacije i otklanjanja uzroka problema vezanih za filtriranje saobraćaja na nekim mestima u mreži.

Dokument možete preuzeti ovde.

Upotrebom digitalnih sertifikata do sigurnog pristupa servisima

Sigurnost, ,

Dokument promoviše usvajanje digitalnih sertifikata u institucijama članicama Akademske mreže Srbije kao načina za uspostavljanje sigurnih kanala komunikacije. Da bi korisnici prilikom preuzimanja ili slanja podataka na neki server imali zaštićenu komunikaciju, moraju biti sigurni da su zaista pristupili onom serveru kojem su imali nameru da pristupe i da niko ne može pročitati i/ili promeniti podatke koji se šalju ili primaju. Upotreba digitalnih sertifikata u kombinaciji sa SSL tehnologijom omogućava pomenutu sigurnost. Opisane su komponente PKI infrastrukture, ali i način realizacije PKI funkcija na primeru uključivanja AMRES-a u TCS (TERENA Certificate Service) servis. Navedene su i različite potrebe za korišćenjem PKI u NREN-u, koje zahtevaju različite tipove digitalnih sertifikata, ali je posebna pažnja posvećena korišćenju PKI infrastrukture, odnosno digitalnih sertifikata u kombinaciji sa SSL tehnologijom u svrhu međusobne autentifikacije servisa i njihovih korisnika. U dokumentu je objašnjen postupak pribavljanja serverskog sertifikata – generisanje ključa, formiranje sertifikata, priprema za/i podnošenje zahteva za potpisivanje serverskog sertifikata. U završnom delu dokumenta nalaze se uputstva za instalaciju digitalnih sertifikata na Linux serverima.

Dokument možete preuzeti ovde.

Centralizovani sistem za filtriranje web saobraćaja

Sigurnost, , , , ,

Cilj ovog dokumenta ja da se čitalac uputi u tehničko rešenje filtriranja web saobraćaja u okviru kampus okruženja pomoću specijalizovanih IronPort firewall uređaja. Pored dizajna, konfigurisanja i pozicioniranja IronPort firewall sistema, dokument obuhvata i druge bitne preporuke kao što su mehanizmi za ravnomernu distribuciju web saobraćaja ka firewall uređajima i prikupljanja i analize aktivnosti korisnika na mreži. Dokument takođe obuhvata prednosti i mane korišćenja ovakvog centralizovanog sistema. Iako dokument opisuje rad sa specijalizovanom IronPort firewall opremom, pojedine ideje i tehnologije se mogu primeniti i na opremi bilo kojeg drugog proizvođača.

Dokument možete preuzeti ovde.

Nadgledanje Radius Infrastrukture

Monitoring, , , , ,

U ovom dokumentu je opisana implementacija sistema za nadgledanje složene autentifikacione hijerarhije servera koja je zasnovana na RADIUS (Remote Authentication Dial In User Service) protokolu. Predstavljeno rešenje je razvijeno za potrebe nadgledanja nacionalne serverske infrastrukture realizovane u okviru eduroam servisa u Akademskoj mreži Republike Srbije (AMRES) koja u momentu pisanja ovog dokumenta ima 60
eduroam® pristupnih tačaka širom Srbije. Autentifikaciona eduroam infrastruktura zahteva odgovarajući sistem za nadgledanje u okviru kog se vrši testiranje funkcionalnosti svih RADIUS servera od kojih se sastoji. Sistem za nadgledanje je osmišljen tako da pruža dovoljno detaljan uvid u stanje RADIUS infrastrukture ali da se, sa druge strane, prema politici eduroam servisa, ne zadire u privatnost korisnika.
Nadziranje RADIUS serverske infrastrukture u AMRES mreži se sprovodi sa ciljem da se proveri dostupnost RADIUS servera preko mreže, kao i da se utvrdi da li RADIUS serveri na odgovarajući način obrađuju autentifikacione zahteve klijenata. U radu je predstavljeno jednostavno i skalabilno rešenje za nadgledanje, a dobijeni rezultati se mogu iskoristiti i u drugim okruženjima gde se servisi oslanjaju na RADIUS protokol.

Dokument možete preuzeti ovde.

Preporuke za analizu mrežnog saobraćaja pomoću NetFlow protokola

Monitoring, , , ,

Cilj ovog dokumenta je da predstavi postupke koji se koriste za analizu saobraćaja u mreži, čime se postiže jasan uvid u strukturu saobraćaja i efikasno otkrivanje eventualnih problema i anomalija. Prvo su predstavljene tehnologije za analizu mrežnog saobraćaja, kao i njihove prednosti i mane. Zatim su detaljno obrađene preporuke za analizu mrežnog saobraćaja zasnovanu na statistici prikupljenoj preko NetFlow protokola. Preporuke obuhvataju primere ispravnog konfigurisanja NetFlow protokola na mrežnim uređajima kao i primere indirektnog korišćenja NetFlow protokola u situacijama kada ga mrežni uređaji ne podržavaju. Dokument obuhvata i pregled korišćenja ICmyNet.Flow sistema za analizu NetFlow statistike, koji se koristi kao jedan od Network Management sistema ne samo u Akademskoj mreži Srbije već i u drugim NREN ovima.

Dokument možete preuzeti ovde.