Radionica/seminar/workshop se organizuje u okviru aktivnosti na GEANT3 projektu, grupa GN3/NA3/T4 „Campus Best Practice”. Aktivnosti se sprovode u četri pilot zemlje: Norveška, Finska, Republika Češka i Srbija, a vezane su za iskustva stečene u šest oblasti. Oblasti su: fizička infrastruktura, campus networking (uključuje IPv6), wireless, komunikacije u realnom vremenu (uključuje VoIP, video), nadgledanje mreže i sigurnost. Sve zemlje nisu istakle interest za svaku oblast. Srbija je aktivna u tri oblasti: fizička infrastruktura, nadgledanje mreže i sigurnost.

Namera o okupljanju grupe za sigurnost u akademskoj mreži Srbije objavljena je krajem 2009. godine. Cilj formiranja grupe je da kroz razmenu mišljenja, iskustava i upoznavanje rešenja koje institucije primenjuje, doprinese boljem razumevanju pitanja bezbednosti i pomogne institucijama da podignu efikasnost i kvalitet zaštite u svojim lokalnim mrežama. Članovi grupe (još mogu postati oni koji žele da) učestvuju u izdradi AMRES BP (Best Practice Document) dokumenata i definisanju preporuka za primenu lokalnim mrežama članica AMRES-a.

Do sada su izrađena dva BD dokumenta. Prvi dokument sadrži preporuke o filtriranju paketa u okviru AMRES-a. Drugi dokument promoviše usvajanje digitalnih sertifikata u institucijama članicama AMRES-a za uspostavljanje sigurnih kanala komunikacije ka svojim serverima. BP dokumenti su objavljeni na CBP stranici.

Radionica pruža priliku administratorima ne samo da upoznaju sadržaj BP dokumenata, već i da iznesu mišljenja o ponuđenim predlozima, nedostacima sa kojima se susreću u svakodnevnoj implementaciji i time doprinesu poboljšanju postojeće prakse.

Sledeći zadatak ovog okupljanja je uvid u stanje i rešenja koje se koriste u institucijama članicama u suočavanju sa drugim sigurnosnim izazovima (zaštita od spam-a, logovanje pristupa mreži i sl.), a vezano za ideje o uvođenju novih servisa u AMRES-u. Nadamo se da će tokom diskusije biti definisane potencijalne teme narednih BP dokumenata.

Namera je i da se o prvi put u AMRESu govori i o prednostima (i pozitivnom uticaju na sigurnost) uspostavljanja i održavanja baza sa podacima o krajnjim korisnicima i njihovim privilegijama u unifikovanom elektronskom formatu, te povezivanju ovih baza u jedinstvenu infrastrukturu za autentifikaciju i autorizaciju. Upoznaćemo se i sa iskustvom GRNET-a u uspostavljanju takve infratrukture u akademskoj mreži Grčke, sa primerima korištenja same infrastrukture.

Radionica je namenjanja administratorima, koji učestvuju u razvoju i/ili svakodnevno obavljaju poslove održavanja lokalnih računarskih mreža i servisa u institucijama članicama AMRESa.

Ako želite prisustvovati ovom događaju, molimo da se registrujete.

Prijave se primaju zaključno sa 17.2.2011.

Broj mesta je ograničen veličinom prostora u kome se događaj organizuje.

Apstrakte prezentacija takođe možete pogledati. Nalaze se ispod dnevnog reda.

^*) Predavanje će biti održano na engleskom jeziku

Infomacija o uspostavljanju CSIRT-a u AMRES-u. Slučajevi rešavani u 2010. godini – karakteristični primeri.

Sem grupe za sigurnost u AMRES-u, slične grupe u drugim zemljama su radile na BP dokumentima iz oblasti sigurnosti. Obuhvaćen je širok spektar tema, od predloga pravilnika („Information security policy”), do preporuka za zaštitu konkretanih servisa (wireless).

Prezentacija je koncipirana tako da pruži potpunu informacije o bezbednosnim dokumentima, nameni, formi i mestu na kome se nalaze, kako onim dokumentima koji su završeni i dostupni, tako i o dokumentima koja su još u izradi i drugim materijalima koji su dostupna na zaštićenim stranicama AMRES wiki -ija.

Filtriranje saobraćaja u AMRES-u se obavlja po pravilima utvrđenim kodeksom ustanovljenom u ranijim razvojnim fazama AMRES-a. Uočljiv je problem nedostataka Pravilnika o filtriranju saobraćaja, a ispoljio se i prilikom izrade BP dokumeta sa preporukama o filtriranju saobraćaja za krajnje institucije.

Paralelno sa izradom BD dokumenta o filtriranju saobraćaja za krajnje institucije, AMRES servisni centari su diskutovali o postojećim i drugim mogućim rešenjima, te pitanjima koja se moraju urediti Pravilnikom o filtriranju saobraćaja u AMRESu. To su sledeća pitanja. Pre svega, pitanje filtriranje saobraćaja – kako AMRES nije komercijalni provajder, propusni opseg kojim AMRES raspolaže nije neograničen. Svi sadržaji u akademskoj mreži nisi od podjednake važnosti. Postoji saobraćaj i sadržaji koji su potpuno nepoželjni u AMRESu, o čemu korisnici moraju biti permanentno obaveštavani i upozoravani. Ograničavanje nepoželjnog saobraćaja je obaveza administratora u svim institucijama članicama AMRESa, a ne samo u servisnim centrima AMRES-a. Zatim, pitanje filtriranje sadržaja – za nepoželjan i nedopustiv saobraćaj i sadržaj. Sledeće je pitanje upotreba proxy-a i usvajanje rešenja za evidenciju saobraćaja i logovanje, što je zakonska obaveza internet provajdera. I na kraju, pitanje sankcionisanja nedopustivog ponašanja.

AMRES servisni centri su se inicijalno saglasili oko predloga koji su formulisani u radnoj verziji dokumenta „Pravilnik o filtriranju saobraćaja u AMRESu”. Biće predstavljeni aktuelni predlozi i ostavljena mogućnost da se diskutuje o njima.

Filtriranje saobraćaja je jedna od bazičnih i neobilaznih tema u oblasti sigurnosti mrežne infrastrukture i servisa.

U prvoj prezentaciji, biće predstavljeni TCP/IP i OSI slojevi na kojima se može vršiti filtriranje saobraćaja, biće predstavljene osnovne preporuke za filtriranje saobraćaja i predstavljene osnovne tehnologije koje se mogu primeniti (filtriranje paketa, firewall uređaji, proxy serveri itd.). Takođe, biće predstavljene i tehnologije koje se mogu kombinovati sa tehnologijama filtriranja (NAT, VPN, IDP sistemi).

Druga prezentacija se odnosi na proces definisanja i implementaciju pravila o filtriranju saobraćaja. U okviru ove prezentacije biće razmatrana pitanja izbora strategije filtriranja, mehanizama definisanja i implementacije pravila, a zatim će biti predstavljeni i najčešće korišćeni servisi i protokoli u kampus mrežama. Na kraju prezentacij biće dat primer konfiguracije liste pristupa za Cisco L3 uređaje.

Sesija ce se baviti glavnim bezbednosnim problemima u AMRES insitucijama. Konkretne teme kojima ćemo se baviti biće rezultat upitnika na temu bezbednosti koji će popuniti mrežni administratori AMRES institucija. Sesija ce biti interaktivna i administratori mogu da uzmu učešće u sesiji i predstave neka bezbednosna rešenja i procedure u njihovim mrežama. Takođe, biće pretstavljeni teorijski koncepti skeniranja ranjivosti i iskustva iz RCUB-a, kao i novi VPN servis u AMRES-u koji je trenutno u pilot fazi.

Upitnik se nalazi na sledećem linku. Biće aktivan do 16. februara.

Nadamo se da će tokom diskusije biti definisane potencijalne teme za buduća BP dokumenata.

Kako bi se prilikom pristupa mrežnim ili web resursima izvršila provera identiteta korisnika (autentifikacija) i odredila prava i privilegije korisnika (autorizacija) neophodno je da korisnik poseduje digitalni identitet. Digitalni identitet predstavlja skup podataka o korisniku kao što su: korisničko ime, lozinka, podaci koji opisuju prava i privilegije korisnika, kontakt podaci itd.

Sistem u kome svaki resurs ponaosob održava bazu digitalnih identiteta korisnika je neskalabilan i neprimenljiv jer bi korisnici morali da za svaki resurs da otvaraju i pamte poseban nalog, a administratori resursa bi morali da rade dodatni posao otvaranja i održavanja naloga. Umesto toga, rešenje je da korisnik poseduje jedinstven digitalni identitet koji se čuva na jednom mestu – u bazi digitalnih identiteta matične institucije korisnika. Tada korisnik upotrebljava isti digitalni identitet za pristup lokalnim resursima institucije, a otvara se i mogućnost (ako se ostvari inter-institucionalna autentifikacija i autorizacija) da može da pristupi i resursima drugih institucija. Jedan od primera servisa, sada već svetskih razmera, koji se nudi i korisnicima van matične institucije jeste eduroam. Infrastruktura za Autentifikaciju i Autorizaciju – AAI omogućava inter-institucionalnu autentifikaciju i autorizaciju, u kojoj se korisnik autentifukuje na svojoj matičnoj instituciji, a pristupa resursima drugih institucija. Institucije koje svojim korisnicima obezbeđuju digitalni identitet nazivaju se davaoci identiteta (Identity Provider – IdP), a institucije koje nude resurse su davaoci resursa (Resource Provider – RP). Kao što je već pomenuto, osnovni gradivni element AAI jeste jedinstveni digitalni identitet korisnika koji se nalazi u bazi davaoca identiteta, tj. matične institucije.

Neki od preduslova za implementaciju AAI rešenja jeste jedinstveno razumevanje i tumačenje podataka o korisnicima, kao i garancija (od strane davaloca identiteta) da su podaci o korisnicima koji održavaju tačni (Identity Management -IdM). Na prezentaciji će biti objašnjen koncept AAI, biće dat uvod u korisničke direktorijume kao i neke od preporuka za procedure održavanja ideniteta korisnika – IdM. Takođe će biti prestavljena rsEdu šema koja detaljno opisuje atribute o korisnicima koje bi svaka institucija koja će učestvovati u AMRES AAI trebalo da održava, a što je neophodan preduslov za interoperabilnost pri inter-institucionalnoj autentifikaciji i autorizaciji.

“Greek Research and Technology Network: Authentication & Authorization Infrastructure”

The presentation will focus on GRNET’s Authentication & Authorization Infrastructure. It will describe the motivation behind its development, the history of it, the design choices that were taken along the way and the current status and penetration of it. Among other things, the services that GRNET currently provides and is planning to provide, as well as the ways they can find to collaborate between our respective communities, will be summarized.

Prvi deo prezentacije objašnjava osnovne komponente neophodne da bi se ostvarila bezbedna komunikacija preko javne računarske mreže kao što je Internet. Dat je pregled kriptografskih protokola i tehnika. Objašnjen je koncept infrastrukture javnih ključeva (PKI – Public Key Infrastructure ) i potreba za njenom implementacijom. Pregled potreba za sertifikatima u AMRESu. Postoje različite načini i procedure pribavljanja (tj. realizacije PKI infrastrukture) sertifikata u AMRES.

Drugi deo prezentacije objašnjava šta je TCS servis (TERENA Certificate SERVICE) , prednosti koje on pruža, kao i njegova realizacija u okviru AMRESa. Objašnjene su vrste digitalnih sertifikata koji mogu da se dobiju preko TCS servisa, kako institucija može da postane korisnik i koji su sve koraci potrebni za registraciju i dobijanje TCS digitalnog sertifikata. Dalje, data su odgovori na probleme sa kojima se korisnici najčešće sreću pri samom procesu dobijanja sertifikata, kao i pri kasnijoj instalaciji istog.

Slike sa radionice:

Organizator

Mara Bukvić