Cały raport w formacie pdf

Transkrypt

ISSN 1509-3603 NR1/2010
Śledzenie zagrożeń w sieci
Uaktywnienie subdomen
Ethernetowa rewolucja
Streaming wideo w Polska.pl
3
W YDARZENIA
3
Polski rejestr przoduje
4
6
8
NASK laureatem „Teraz Polska”
10
Akademia NASK
Nowości w ofercie usługowej
Jak bezpiecznie surfować
13
13
MICHAŁ CHRZANOWSKI
DYREKTOR NASK
USŁUGI
Ethernetowa rewolucja
NASK liderem innowacji
NASK zmienia się tak, jak zmianie ulega świat Internetu i
telekomunikacji. Od 1 października 2010 roku NASK stał się instytutem
16
16
badawczym. Zmiany ustawowe otwierają przed nami nowe szanse.
BE Z P IE C Z E ŃS T W O
Staramy się sprostać tym wyzwaniom. Rozszerzamy naszą działalność
naukową, prowadzimy wiele projektów badawczych. Z powodzeniem
Śledzenie zagrożeń w sieci
działamy na rynku komercyjnym, świadcząc szeroki wachlarz usług z
dziedziny telekomunikacji. najlepszych w Europie, a w domenie .pl zarejestrowanych jest już prawie
18
18
21
Polski rejestr domen prowadzony przez NASK jest jednym z
DOMENY
2 mln adresów. NASK jest liderem w dziedzinie bezpieczeństwa
Internetu. W 2010 roku zostaliśmy uhonorowani godłem „Teraz Polska”
Uaktywnienie subdomen
Wirtualizacja w Dziale Domen
w prestiżowej kategorii „Innowacje”. Uznanie jury uzyskał system
ARAKIS-GOV skutecznie chroniący zasoby wielu najważniejszych polskich instytucji. Warto podkreślić, iż to rozwiązanie przygotowywane
było przy udziale specjalistów między innymi z zespołu CERT Polska
24
24
INTERNE T
uznawanego za jeden z najlepszych na świecie, a działającego w ramach
NASK. Streaming wideo w Polska.pl
Nie zapominamy, że bezpieczeństwo Internetu to także dbałość
o bezpieczne korzystanie z sieci przez najmłodszych. Od przeszło pięciu
lat realizujemy program Komisji Europejskiej „Safer Internet”, prowadzimy hotline zbierający informacje o nielegalnych treściach w sieci. Naszą
27
27
BADANIA
nową inicjatywą jest Akademia NASK. Oferuje ona kursy i szkolenia,
między innymi z dziedziny bezpieczeństwa Internetu, informatyki i telekomunikacji, a także bezpiecznego korzystania z Internetu i edukacji medial-
Wspomaganie zarządzania
kryzysowego
nej. Prawie 20 lat temu podłączyliśmy Polskę do sieci. Dziś chcemy być
liderem w kreowaniu innowacyjnych rozwiązań technologicznych.
Michał Chrzanowski
2
B I U L E T Y N NASK
W Y DA R Z ENI A
Wysokie tempo wzrostu
Polski rejestr przoduje
Podsumowując pierwszą poło-
Pragniemy podkreślić, że dynamika
Drugim
wę roku 2010, z satysfakcją
przyrostu liczby nazw domeny .pl jest
nikiem wpływającym na przyrost
możemy stwierdzić, że charak-
znacznie wyższa niż w pozostałych
nazw domeny .pl w DNS jest liczba
teryzowała się ona bardzo dyna-
krajach Unii Europejskiej. W ujęciu
odnowień, która w roku 2010 zaczę-
micznym rozwojem polskiego
rocznym wynosi 28 procent, pod-
ła wykazywać tendencję wzrostową.
rynku domen internetowych.
czas gdy w zajmującej drugie miej-
Pod koniec drugiego kwartału 2010 r.
Co
przoduje
sce Francji wartość ta kształtuje
wskaźnik
wśród 10 największych europe-
się na poziomie 21 proc. Kolejne
59 proc.
jskich rejestrów krajowych pod
europejskie rejestry notują znacznie
względem dynamiki przyrostu
niższe przyrosty, holenderski – 14
Pierwsze półrocze 2010 r. było także
liczby nazw domen w DNS.
proc., a belgijski i włoski po 13 proc.
pomyślne, jeśli chodzi o zaintere-
więcej,
Polska
bardzo
ważnym
odnowień
czyn-
osiągnął
Ten niezwykle wysoki przyrost
sowanie programem partnerskim
Pierwsze półrocze 2010 roku zostało
zawdzięczamy przede wszystkim
NASK. Podpisaliśmy 19 nowych
zamknięte imponującą liczbą 1 834
dużej liczbie nowych rejestracji. W
umów, w tym aż 8 z podmiota-
726 aktywnych nazw domeny .pl.
ciągu pierwszej połowy roku zostało
mi zagranicznymi. Świadczy to o
Oznacza to przyrost netto aktyw-
zarejestrowanych powyżej 500 000
rosnącej popularności nazw domeny
nych nazw domeny utrzymywanych
nowych nazw domeny .pl. Daje to
.pl również poza granicami Polski.
w DNS o ponad 200 000 w porów-
średnią liczbę 2886 rejestracji na
naniu do końca roku 2009.
dzień.
/ks/
.se
.be
.dk
.es
.fr
.pl
.it
.nl
.uk
.de
0%
5%
10%
15%
20%
25%
30%
Dynamika przyrostu liczby nazw w DND w europejskich ccTLD, rok do roku
3
Zdoby wcy godła promocyjnego
NASK laureatem
Teraz Polska
NASK i ABW zostały tegorocznymi laureatami
konkursu „Teraz Polska” w kategorii „innowacje” za system detekcji i wczesnego ostrzegania
o zagrożeniach bezpieczeństwa teleinformatycznego sieci administracji państwa ARAKIS-GOV.
ARAKIS-GOV jest wspólnym przedsięwzięciem zrealizowanym przez Departament Bezpieczeństwa
Teleinformatycznego ABW i Zespół CERT Polska
działający w NASK. Jego podstawę stanowi wcześniejszy projekt pod nazwą ARAKIS (Agregacja,
Analiza i Klasyfikacja Incydentów Sieciowych) opracowany przez CERT Polska. ARAKIS to unikalny system wczesnego ostrzegania, który w sposób zautomatyzowany wykrywa i opisuje nowe zagrożenia w sieci.
Zadania te realizuje za pomocą nowatorskich algorytmów wykorzystujących techniki maszyn uczących
się. System umożliwia przetwarzanie dużej ilości
danych przy zachowaniu niskiego współczynnika fał-
Wykonawcy systemu
NASK (Naukowa i Akademicka Sieć Komputerowa) jest
instytutem badawczym prowadzącym
działalność naukową i wdrożeniową w
dziedzinie rozwoju usług teleinformatycznych i systemów bezpieczeństwa ICT. W NASK od 1996 r. działa zespół CERT Polska
zajmujący się obsługą incydentów naruszających bezpieczeństwo sieci. ARAKIS to jeden z efektów prac badawczo-wdrożeniowych zespołu CERT Polska.
ABW (Agencja Bezpieczeństwa Wewnętrznego) jest
powołana do ochrony porządku konstytucyjnego
Rzeczpospolitej Polskiej. Odpowiada m.in. za ochronę kluczowych systemów i sieci teleinformatycznych
państwa. W 2008 r. w strukturze Departamentu
Bezpieczeństwa Teleinformatycznego ABW powołano rządowy zespół reagowania CERT.GOV.PL. Jednym z jego zadań
jest dalsze wdrożenie ARAKIS-GOV i bieżący nadzór nad systemem.
4
szywych alarmów. Konstrukcja algorytmów sprawia,
że ARAKIS potrafi wykrywać zagrożenia niezależnie
od ich ciągłej ewolucji.
ARAKIS-GOV zabezpiecza sieci teleinformatyczne, uzupełniając działanie standardowych systemów
ochrony sieci, takich jak firewall, antywirus czy
systemy wykrywania włamań. Ze względu na swoją
specyfikę jest stosowany wspólnie z tymi zabezpieczeniami. Unikalną cechą systemu jest to, że nie
monitoruje on treści informacji wymienianych przez
chronioną instytucję z siecią Internet. Sondy systemu instalowane są poza chronioną siecią wewnętrzną
instytucji po stronie sieci Internet.
Użytkownik ARAKIS-GOV uzyskuje informację na
temat nowych zagrożeń globalnych pojawiających się
w sieci Internet, m.in. nowo wykrytych samopropagujących się zagrożeń typu worm (robak sieciowy),
nowych typów ataków obserwowanych z poziomu
dużej liczby lokalizacji, trendów aktywności ruchu
sieciowego na poszczególnych portach i trendów
aktywności wirusów rozsyłanych pocztą elektroniczną.
ARAKIS-GOV dostarcza też informacji na temat
zagrożeń lokalnych związanych z konkretną, chronioną lokalizacją, w tym braku aktualnych szczepionek
antywirusowych zainfekowanych komputerów w sieci
wewnętrznej, nieszczelnej konfiguracji brzegowych
systemów zaporowych czy prób skanowania publicznej przestrzeni adresowej zarówno z Internetu, jak i
z sieci wewnętrznej.
Obecnie sensory systemu zainstalowane są w ponad
60 urzędach szczebla centralnego, administracji terenowej oraz samorządowej.
/mb/
Nowa monografia
W Y DA R Z ENI A
Naukowcy z NASK publikują
W 2009 roku ukazała się praca
zbiorowa „Programowanie równoległe i rozproszone” pod redakcją Andrzeja Karbowskiego i Ewy
„Programowanie równoległe i rozproszone”
Praca zbiorowa pod redakcją
Andrzeja Karbowskiego i Ewy Niewiadomskiej-Szynkiewicz
Oficyna Wydawnicza PW
Niewiadomskiej-Szynkiewicz
poświęcona zagadnieniom programowania równoległego i rozproszonego.
Autorami
książ-
ki – wydanej przez Oficynę
Wydawniczą PW – są pracownicy Pionu Naukowego NASK i
Politechniki Warszawskiej.
Problematyka przetwarzania równoległego i rozproszonego stanowi
obecnie bardzo ważny obszar badań
naukowych i zastosowań praktycznych. Zadecydował o tym przede
wszystkim ogromny postęp w zakresie sprzętu komputerowego – obec-
nie większość komputerów osobistych to już maszyny równoległe.
Tematem książki jest wykorzystanie
maszyn wieloprocesorowych oraz
sieci maszyn (klastrów lub gridów)
do rozwiązywania złożonych zadań
obliczeniowych. Praca jest monografią zawierającą trzy zasadnicze
wątki dotyczące wstępnych definicji
i pojęć, narzędzi programistycznych
oraz algorytmów i metod obliczeniowych. Omawiane są w niej nowe
architektury sprzętowe do realizacji
obliczeń równoległych i rozproszonych, miary efektywności obliczeń
równoległych, a także podstawowe
paradygmaty programowania równoległego. Praca zawiera m.in. szczegółowe opisy mechanizmów i narzędzi programowania współbieżnego
oraz narzędzi służących do realizacji zdalnych wywołań (architektura klient-serwer). Prezentowane
są mechanizmy i techniki programowania z wykorzystaniem narzędzi z różnych klas. Ostatni rozdział
zawiera opis wybranych algorytmów z dziedziny algebry liniowej
i nieliniowej, w tym także optymalizacji, wraz ze sposobami ich
dekompozycji, równoległej imple-
mentacji oraz analizą poprawności.
Książka jest przeznaczona dla pracowników naukowych różnych specjalności rozwiązujących duże zadania obliczeniowe, pracowników firm
zajmujących się budową złożonych
systemów informatycznych, studentów studiów magisterskich i doktoranckich na kierunkach informatycznych. Może być również pożytecznym źródłem informacji dla
osób zainteresowanych zdobyciem
wiedzy w dziedzinie mechanizmów
zrównoleglania
czesnych
obliczeń,
metod
nowo-
numerycznych
oraz ich realizacji na maszynach
wielordzeniowych, wieloprocesorowych i w sieciach komputerów. Jest
przewodnikiem
wystarczającym
do samodzielnego pisania aplikacji współbieżnych, równoległych i
rozproszonych działających w omawianych środowiskach sprzętowych.
Omawiane w książce programy
można pobrać na stronie www.
Informację podała
dr hab. inż. Ewa Niewiadomska-Szynkiewicz,
Dyrektor ds. Naukowych NASK
5
Szkolenia, edukacja, popular yzacja
Akademia NASK
Akademia NASK jest nowo powstałym działem,
który odpowiada za tworzenie oraz realizację działalności szkoleniowej, edukacyjnej oraz popularyzatorskiej. Kieruje nim Agnieszka Wrońska. W skład
działu wchodzą dwa zespoły: Zespół Reagowania
na Nielegalne Treści w Internecie – Dyżurnet.pl
(kierownik – Marek Dudek), prowadzony w ramach
programu europejskiego „Safer Internet” oraz Zespół
Szkoleń i Edukacji (kierownik – Anna Rywczyńska).
Zespół Dyżurnet monitoruje i dba o usuwanie nielegalnych
treści znajdujących się w sieci, które są skierowane przeciwko bezpieczeństwu dzieci, a także innych, niezgodnych z
przepisami polskiego prawa, m.in. dotyczących ksenofobii i
rasizmu. Prowadzi także działalność na rzecz podwyższania
poziomu bezpieczeństwa w Internecie.
Do głównych zadań Zespołu Szkoleń i Edukacji należy
tworzenie programów oraz realizacja szkoleń i kursów bazujących na wiedzy ekspertów pracujących w NASK. Zespół
ten organizuje również przedsięwzięcia we współpracy z
partnerami zewnętrznymi. Jednym z istotnych obszarów
jego aktywności są działania non-profit realizowane m.in.
w ramach programu Komisji Europejskiej „Safer Internet”
prowadzonego przez NASK już od 2005 roku. Zespół tworzy także nowe programy edukacyjne obejmujące obszar
bezpiecznego korzystania z Internetu, jak również szeroko
rozumianej edukacji medialnej. Proponowane szkolenia
adresowane są do sektora oświaty – nauczycieli, rodziców,
opiekunów oraz dzieci i młodzieży.
Zespół Szkoleń i Edukacji Akademii NASK oferuje specjalistyczne szkolenia kierowane do sektora biznesu, administracji publicznej oraz instytucji akademickich. Zakres
szkoleń obejmuje wiele obszarów tematycznych, takich jak
bezpieczeństwo systemów teleinformatycznych, modelowanie, optymalizacja, sterowanie i zarządzanie sieciami
6
teleinformatycznymi, prowadzenie i utrzymywanie rejestru
domen internetowych, metody biometrycznej weryfikacji i
identyfikacji tożsamości. Oferta szkoleniowa jest profilowana pod kątem potrzeb i poziomu zaawansowania odbiorców,
a zakres tematyczny rozszerzany o nowe zagadnienia.
Akademia NASK to również podnoszenie kwalifikacji pracowników. Rozwój kompetencji oraz wymiana doświadczeń
wewnątrz organizacji to ważny kierunek jej działalności. W
najbliższym czasie planowane jest uruchomienie szkoleniowych programów wewnętrznych, dzięki którym pracujący w
NASK specjaliści z różnych dziedzin będą mogli dzielić się
swoją wiedzą wewnątrz organizacji.
/aw/
NASK w ccNSO
NASK jako rejestr nazw w domenie .pl został
przyjęty do organizacji ccNSO (country code
Names Supporting Organisation), która jest
częścią ICANN i zrzesza wyłącznie prawidłowo umocowane rejestry krajowe z całego
świata.
Organizacja ccNSO kreuje politykę ICANN w
zakresie krajowych rejestrów domen najwyższego
poziomu (ccTLD). Decyzje podejmowane przez
Radę Dyrektorów ICANN, mające wpływ na
funkcjonowanie Internetu, a które mogą dotyczyć
ccTLD (country code Top Level Domains), są
konsultowane z członkami ccNSO.
W organizacji zrzeszonych jest obecnie 107 rejestrów z całego świata. Liczba jej członków w ostatnim czasie szybko wzrasta – od początku 2010 roku
do ccNSO przyjęto siedem kolejnych rejestrów.
/ap/
Dla młodych internautów
Festiwal
Nauki w NASK
W ramach XIV Festiwalu Nauki gościliśmy na
prelekcjach i warsztatach uczniów warszawskich
szkół podstawowych i gimnazjów. We wrześniowych spotkaniach wzięło udział ponad 200 młodych osób.
NASK już od wielu
lat aktywnie uczestniczy w Festiwalu
Nauki, organizując
pokazy, lekcje festiwalowe i warsztaty.
W tym roku aż trzy
prelekcje dotyczyły
istotnych spraw związanych z bezpieczeństwem sieciowym. Zespół Metod Bezpieczeństwa Sieci i Informacji,
wchodzący w skład Pionu Naukowego NASK, przygotował dwie prelekcje: „Otoczeni przez czujniki” – dla
dzieci oraz „Surfuj bezpiecznie!” - dla gimnazjalistów.
Uczniowie niezwykle aktywnie uczestniczyli w prowadzonych przez naszych młodych naukowców prezentacjach, którzy z zaangażowaniem dzielili się wiedzą na
tematy związane z bezpieczeństwem. Natomiast dla
najmłodszych internautów zorganizowany został specjalny warsztat o tym, jak bezpiecznie rozpocząć przygodę
z Internetem, co jest najważniejszą zasadą bezpieczeństwa, na kogo trzeba uważać i w jaki sposób bronić się
przed sieciowymi zagrożeniami.
Podczas kolejnych prelekcji grupa gimnazjalistów zdobyła wiedzę o domenach internetowych oraz o zawartości prowadzonego
przez NASK portalu
Polska.pl. Dzięki multimedialnej prezentacji uczniowie poznali
m.in. tajniki działania
systemu rejestracji
domen i zasady two-
W Y DA R Z ENI A
Biometria w praktyce
„Czego oczy nie widzą, to biometria wyjaśni” – pod
takim hasłem odbywały się pokazy zorganizowane
przez pracowników Pionu Naukowego NASK dla
uczestników tegorocznego Pikniku Naukowego
Polskiego Radia i Centrum Nauki Kopernik.
Pracownia Biometrii NASK zorganizowała pokazy testowania systemów biometrycznych wraz z Polską Wytwórnią
Papierów Wartościowych S.A. W trakcie testów można
było stworzyć m.in. wzorzec własnej tęczówki i odcisku
palca, a następnie przejść proces weryfikacji. Dodatkowo
na stanowisku NASK można było zaznajomić się z procesem automatycznej identyfikacji tożsamości takich cech
biometrycznych, jak geometria dłoni czy podpis odręczny.
Testy prowadzono w ramach projektu „Platforma bezpiecznej implementacji biometrii przy realizacji działań związanych z weryfikacją i identyfikacją tożsamości” współfinansowanego przez Ministerstwo Nauki
i Szkolnictwa Wyższego, realizowanego w ramach
obszaru „Bezpieczeństwo wewnętrzne państwa”.
NASK był również instytucją wspierającą organizację
Pikniku,
która
zapewniła
wystawcom bezprzewodową łączność z Internetem.
/mb/
rzenia atrakcyjnej nazwy internetowej. Zespół Polska.pl
zaprosił młodzież gimnazjalną do twórczych warsztatów
na temat różnych dziedzin nauki, jakie można znaleźć
w serwisie. Poszczególne grupy uczestników festiwalu
odkrywały tajemnice archiwów, starych dokumentów
miast polskich, poznawały sekrety przyrody, dzieła wielkich twórców literatury, a także techniczne aspekty
działania portalu.
/am/
7
Nowości w ofercie usługowej
Dla firm z sektora ISP
NASK przygotował specjalną ofertę dla firm z sektora ISP w postaci atrakcyjnych cenowo pakietów
usług, które pozwalają spełnić wymagania stawiane firmom ISP przez regulatorów i zapewniają
bezpieczeństwo rozwiązań oferowanych klientom
końcowym.
NASK proponuje operatorom wysokiej jakości usługi
tranzytu ruchu IP, w tym m.in. pełny tranzyt ruchu IP
(ruch krajowy i zagraniczny), tranzyt ruchu krajowego
IP, tranzyt ruchu zagranicznego IP oraz tranzyt ruchu
zagranicznego IP DE-CIX (połączenie z ponad 200
operatorami w punkcie wymiany ruchu we Frankfurcie).
Usługi te są realizowane z wykorzystaniem protokołu
BGP (Border Gateway Protocol), a ich parametry gwarantowane umowami SLA (Service Level Agreement).
W ofercie dedykowanej nie mogło też zabraknąć telefonii: NASK
proponuje providerom SIP trunk, usługę połączenia platformy
telefonii IP klienta z platformą NASK za pośrednictwem sieci
IP – np. w oparciu o tranzyt ruchu IP lub dedykowane dla ruchu
głosowego łącze transmisji danych. Operatorom ISP, którzy cenią
sobie niezależność oraz planują zwiększenie zakresu działania,
NASK proponuje też pomoc w pozyskaniu własnego numeru
ASN od organizacji RIPE.
W ramach pakietów z atrakcyjnymi rabatami NASK
oferuje kwalifikowane reagowanie na incydenty – unikatowe usługi związane z reagowaniem na przypadki naruszenia bezpieczeństwa teleinformatycznego.
Zostały one opracowane specjalnie na potrzeby firm
ISP – z uwzględnieniem wymagań specyficznych dla
providerów oraz charakteru ich działalności. Dodatkowo
– również w ramach pakietów – NASK jako ekspert w
dziedzinie bezpieczeństwa teleinformatycznego poleca
usługę backupu online. Jest ona skierowana do klientów,
którzy dbają o ochronę i dostępność swoich danych oraz
spełnienie wymagań regulacyjnych.
Przedsiębiorcy zainteresowani taką formą współpracy
mogą przystąpić do programu partnerskiego dla firm
pośredniczących w sprzedaży usług NASK.
/jł/
8
Corporate
Token
Do oferty produktów bezpieczeństwa NASK dołączyła w tym roku usługa Corporate Token, która
pozwala na łatwą i szybką implementację mechanizmów silnego uwierzytelniania bez konieczności
wdrażania w infrastrukturze firmy serwera uwierzytelniającego.
Corporate Token wykorzystuje produkty renomowanego międzynarodowego dostawcy EMC/RSA Security.
Rozwiązanie powstało na bazie tokenów SecurID zapewniających wiarygodne uwierzytelnienie użytkownika
wykorzystujące dwa elementy: PIN-kod i zmienną część
jednorazowego hasła. W ramach usługi NASK dzierżawi
klientom generatory części zmiennej hasła – tokeny
EMC/RSA Security SID-700.
Usługa Corporate Token świadczona jest w modelu
Managed Security Services – pełnego outsourcingu
infrastruktury uwierzytelniającej zlokalizowanej w centrum danych NASK. Bazą usługi jest wdrożony w NASK
klaster niezawodnościowy zbudowany z serwerów uwierzytelniających EMC/RSA Security Authentication
Manager. Jego wieloprocesowa architektura pozwala na
obsługę ogromnej liczby użytkowników na pojedynczym
serwerze oraz setek jednoczesnych żądań uwierzytelnienia. Corporate Token zapewnia klientom łatwą i szybką
implementację mechanizmów silnego uwierzytelniania bez konieczności wdrażania w swojej infrastrukturze serwera uwierzytelniającego. Gwarantuje również
utrzymanie systemu przez NASK oraz zapewnia panel
administracyjny pozwalający na zarządzanie kontami
użytkowników.
/jł/
Sukcesy zespołu reagowania
Rozwiązanie klasy operatorskiej
W Y DA R Z ENI A
CERT Polska liderem
Portfolio usług transmisji danych NASK
zostało wzbogacone o nową usługę –
E-Line. Przeznaczona jest ona głównie
dla operatorów telekomunikacyjnych i
firm outsourcingowych, którym zależy
na bezpiecznej, elastycznej i nowoczesnej infrastrukturze sieciowej.
E-Line to wysokiej klasy profesjonalna usługa transmisji danych punkt-punkt w protokole Ethernet (EPL, EVPL). Wyróżniają
ją między innymi: możliwość konfiguracji
trybu Q-in-Q, monitoringu łącza end-to-end
w protokole Ethernet oraz tak ważne dla
klientów stałe parametry jakościowe transmisji danych. Ponadto oferowane przez NASK
E-line ma bardzo szeroki zakres potencjalnych
zastosowań. Sprawdza się jako połączenie dwóch
fizycznie odległych sieci lokalnych LAN i jako element infrastruktury do realizacji prywatnej telefonii VoIP. Ponadto można stosować ją jako sieć
podkładową do budowy rozległej sieci IP/MPLS
czy do zestawiania dedykowanych kanałów
transmisyjnych na potrzeby łączenia systemów
informatycznych.
Działający przy NASK zespół CERT Polska jest obecnie
światowym liderem w dziedzinie reagowania na zagrożenia bezpieczeństwa w sieci. W tegorocznym raporcie
na temat stanu cyberbezpieczeństwa w Europie przedstawionym przed brytyjską Izbą Lordów CERT Polska
został wskazany jako wzorcowy
przykład dla nowo powstających
zespołów o tym charakterze.
CERT Polska wniósł znaczący
wkład merytoryczny w program międzynarodowej konferencji
FIRST, która odbyła się w czerwcu br. w Miami. Organizatorem
tego dorocznego wydarzenia jest FIRST (Forum for Incident
Response and Security Teams). Organizacja ta zrzesza ponad
200 zespołów z sześciu kontynentów działających przy uczelniach i rządach wielu państw w sektorze bankowym i w wielkich korporacjach (CERT Polska jest członkiem FIRST od
1997 r.).
Podczas konferencji wiele miejsca poświęcono tematom związanym z bezpieczeństwem i prywatnością w systemach cloud computing. Omawiano kwestie ataków dedykowanych, zaprezentowane
zostały również przykłady rozwiązań organizacyjnych i technicznych związanych z bezpieczeństwem i reagowaniem na incydenty.
Projekt WOMBAT wraz z demonstracją API został także przedstawiony na towarzyszącym konferencji FIRST spotkaniu zespołów
narodowych. Od kilku lat spotkania te organizuje ośrodek koordynacyjny zespołów reagowania CERT/CC.
rozwiązanie – dzięki zastosowaniu zarządzalnych urządzeń Ethernet Demarcation Device
– pozwala na jednoznaczne rozgraniczenie
sieci rozległej Ethernet NASK i sieci LAN
klienta oraz zdalny monitoring usługi w protokole Ethernet.
Usługa E-Line jest następcą usług dzierżawy kanałów cyfrowych w sieciach PDH/
SDH oraz połączeń CES (Circuit Emulation
Service) w sieciach ATM, w których tworzeniu NASK jest pionierem w skali kraju.
Członkowie zespołu podczas konferencji wygłosili szereg
wykładów i prezentacji dotyczących projektów badawczo-rozwojowych prowadzonych w związku ze wzrostem zagrożeń
bezpieczeństwa w Internecie, współpracy i samoregulacji
polskich dostawców usług internetowych w zakresie zwalczania przestępczości online oraz międzynarodowych projektów
FISHA i WOMBAT, w których CERT Polska uczestniczy.
/jł/
/pj, am/
9
W Y DA R Z ENI A
Jak
W świecie Internetu
bezpiecznie
surfować
Już po raz czwarty w Warszawie odbyła się międzynarodowa konferencja poświęcona bezpiecznemu wykorzystywaniu Internetu i nowych mediów
przez dzieci i młodzież. Tematem wiodącym tegorocznej edycji było bezpieczeństwo użytkowników
w serwisach społecznościowych oraz zagadnienia
ochrony prywatności online.
Organizatorem konferencji jest Polskie Centrum
Programu Safer Internet prowadzone przez Naukową
i Akademicką Sieć Komputerową (NASK) i Fundację
Dzieci Niczyje (FDN) oraz klicksafe – organizacja
Marcin Bochenek,
Zastępca Dyrektora NASK ds. Projektów
Strategicznych otwiera konferencję
wprowadzająca w życie podobny program na terenie
Niemiec. Konferencja odbywa się każdego roku w
ramach programu Komisji Europejskiej „Safer Internet”.
W tym roku poparcia udzieliła jej Neelie Kroes, wiceprzewodnicząca Komisji Europejskiej i komisarz europejska ds. agendy cyfrowej. Głównym partnerem wydarzenia była Fundacja Orange.
Konferencję zaadresowaliśmy przede wszystkim do przedstawicieli sektora edukacyjnego, organizacji pozarządowych,
instytucji wymiaru sprawiedliwości i organów ścigania oraz
dostawców usług i treści internetowych. Większość uczestników
konferencji to osoby zaangażowane w działania na rzecz
bezpieczeństwa online w swoich lokalnych społecznościach.
Zdobytą podczas konferencji wiedzę wykorzystują podczas
szkoleń, zajęć z dziećmi, organizacji lokalnych wydarzeń i
kampanii. Ta aktywność jest szczególnie zauważalna podczas
corocznych obchodów Dnia Bezpiecznego Internetu – relacjonuje Agnieszka Wrzesień z FDN, przewodnicząca
konferencji.
10
Głos zabiera Richard Swetenham,
przedstawiciel Komisji Europejskiej
W ciągu dwóch dni ponad 500 delegatów z 30 państw
dyskutowało o bezpieczeństwie dzieci i młodzieży w
Internecie. Uczestnicy wzięli udział w specjalistycznych
sesjach prowadzonych przez uznanych ekspertów z
Polski i zagranicy, którzy zaprezentowali szereg innowacyjnych działań edukacyjnych podejmowanych w celu
Eksperci o szkodliw ych treściach
ochrony najmłodszych w wirtualnym świecie – dodaje Anna
Rywczyńska z NASK, wiceprzewodnicząca konferencji.
Nie sposób wymienić wszystkich prezentacji, które
odbywały się podczas sesji plenarnych i sesji równoległych. Ważnym punktem programu było wystąpienie
Richarda Swetenhama z Komisji Europejskiej, który
przedstawił założenia Porozumienia dotyczącego samoregulacji w zakresie bezpieczeństwa w portalach społecznościowych, podpisanego ponad półtora roku temu.
Podczas konferencji można było ocenić, w jaki sposób
zapisy dokumentu były wdrażane przez czołowe portale
społecznościowe, takie jak nk.pl czy Stardoll.com.
Uczestnicy konferencji
również standardy stron kierowanych do dzieci – swoimi
John Carr z eNACSO (Wielka Brytania) podjął temat
zagrożeń płynących z portali społecznościowych, zajął
się także potencjalnym niebezpieczeństwem, które
grozi użytkownikom systemów lokacyjnych w telefonach komórkowych. Helen Whittle z CEOP (Wielka
Brytania) i Birgit Echtler z pro familia Bayern (Niemcy)
podjęły temat wpływu nowych mediów na seksualizację
młodych ludzi i związane z tym zagrożenia.
doświadczeniami podzielili się twórcy stron dziecięcych, takich jak Ciufcia.pl, Jojo.pl i słowacka Ovce.sk.
O tym, jak projektować strony internetowe dla dzieci
niewidomych i niedowidzących, opowiedział z kolei
przedstawiciel Fundacji Widzialni.
Przedstawicieli wymiaru sprawiedliwości i organów
ścigania szczególnie zainteresować mogły wystąpie-
Prelegenci z Rumunii i Finlandii opowiedzieli o angażowaniu dzieci w projekty edukacyjne oraz o tym, jak dużą
rolę w kształtowaniu odpowiedzialnych postaw online
odgrywa edukacja rówieśnicza. Specjaliści z Fundacji
Dzieci Niczyje zaprezentowali m.in. nowe kursy e-learningu dla dzieci i profesjonalistów oraz bezpieczną przeglądarkę internetową dla dzieci BeSt. Jedną z kwestii
dyskutowanych podczas tegorocznej konferencji były
Polskie Centrum Programu Safer Internet powołane zostało w 2005 r. w ramach programu Komisji Europejskiej „Safer
Internet”. Tworzą je Fundacja Dzieci Niczyje oraz Naukowa
i Akademicka Sieć Komputerowa – koordynator Centrum.
Centrum podejmuje szereg kompleksowych działań edukacyjnych na rzecz bezpieczeństwa dzieci i młodzieży korzystających
z Internetu i nowych technologii. W ramach Centrum działają
również zespoły: Dyżurnet.pl - polski punkt ds.
zwalczania nielegalnych treści w Internecie oraz
Helpline.org.pl - punkt pomocy dla dzieci, rodziców
i profesjonalistów w przypadkach zagrożeń w Internecie.
Więcej informacji o programie w Polsce: www.saferinternet.pl
nia dotyczące treści szkodliwych, które do tej pory
nie doczekały się jeszcze penalizacji w polskim prawie. Organizatorzy konferencji wraz z przedstawicielem policji opowiedzieli także o przebiegu i efektach
niedawno przeprowadzonej
kampanii spo-
łecznej „Każdy ruch w Internecie zostawia ślad”.
Honorowy patronat nad konferencją objęli:
prof. Barbara Kudrycka - Minister Nauki
i Szkolnictwa Wyższego,
Katarzyna Hall - Minister Edukacji Narodowej,
Krzysztof Kwiatkowski - Minister Sprawiedliwości,
Anna Streżyńska - Prezes Urzędu Komunikacji
Elektronicznej,
Jerzy Miller - Minister Spraw Wewnętrznych
i Administracji.
/ar, jg/
11
W Y DA R Z ENI A
Rejestracje w świetle statystyk
K ATARZYNA SOBCZYK
Polska
domenowa
Dane dotyczące utrzymania
NASK utrzymuje już 1,84 miliona nazw domeny .pl, z czego
prawie 1,76 miliona stanowią nazwy domeny, do których przypisane są krajowe dane adresowe. Na początku sierpnia bieżącego roku NASK dokonał analizy liczby zarejestrowanych nazw
domeny .pl w poszczególnych województwach i powiatach Polski.*
nazw domen w poszczególnych częściach kraju
wykazują ścisłą zależność
Poniższa mapa ukazuje procentowy podział utrzymywanych polskich nazw
domeny w 16 województwach. Wyniki analizy pokazują, że najwięcej nazw
domeny .pl zarejestrowanych jest w województwie mazowieckim – 27,15
proc., a następnie w śląskim – 10,50 proc., małopolskim – 9,80 proc.,
wielkopolskim – 8,26 proc. i dolnośląskim – 7,90 proc. Najmniej, czyli
poniżej 2 proc. utrzymywanych nazw domeny .pl odnotowano w województwie opolskim – 1,68 proc. i województwie świętokrzyskim – 1,32 proc.
pomiędzy liczbą domen
a poziomem rozwoju
społeczno-gospodarczego
danego regionu.
zachodniopomorskie
4,63%
pomorskie
6,08%
warmińsko-mazurskie
2,42%
kujawsko-pomorskie
3,99%
lubuskie
2,56%
wielkopolskie
8,26%
dolnośląskie
7,90%
podlaskie
2,23%
mazowieckie 27,15%
w tym Warszawa 19,15%
łódzkie
5,20%
opolskie
1,68%
śląskie
10,50%
lubelskie
3,27%
świętokrzyskie
1,32%
małopolskie
9,80%
podkarpackie
3,00%
Sytuacja w poszczególnych powiatach jest bardzo zróżnicowana, zależy głównie od gęstości zaludnienia oraz rozwoju gospodarczego. Najwięcej nazw domeny rejestrowanych jest w miastach na prawach powiatu. Udział powyżej
1 proc. odnotowano w 13 dużych miastach Polski. Prym wiedzie Warszawa, gdzie zarejestrowanych jest 19,15 proc. nazw
domeny .pl. Na następnych miejscach plasują się: Kraków
– 5,37 proc., Wrocław – 4,26 proc. i Poznań – 3,57 proc.
Obecnie
w
205
powiatach
utrzymywanych
jest
poniżej 0,1 proc. nazw domeny. Najmniejszy udział – 0,01 proc.
ma powiat grudziądzki w województwie kujawsko-pomorskim.
% rejestracji domen .pl w województwach
<1
1-3
3-5
5-8
8-10
10-20 20-40 40-70
>70
* Dane z pierwszej połowy sierpnia br.
Autorka jest kierownikiem
Zespołu Rozwoju Programu Partnerskiego DNS w NASK
12
Budowa sieci klienckich
USŁUGI
MICHAŁ ROTNICKI
Ethernetowa
rewolucja
T
echnologia połączeń sieciowych
Ethernet to w świecie nowoczesnych technik telekomunikacyjnych
i informatycznych swego rodzaju
relikt, żeby nie powiedzieć dinozaur. A jednak – mimo ciągłego
poszukiwania nowych rozwiązań
dla transmisji danych – oparła się
ona upływowi czasu i nadal jest
jedną z najbardziej dynamicznie
rozwijanych technik sieciowych.
„Rewolucji nie robi się
ani nie zatrzymuje dobrowolnie”
Napoleon Bonaparte
Technika
Ethernet
została
opracowana w roku 1976 (czyli już
34 lata temu) w ośrodku badawczym XEROX PARC przez Roberta
Metcalfe’a z myślą o realizacji połączeń na krótkich odcinkach pomiędzy niewielkimi liczbami komputerów. Od tego momentu Ethernet
rozpoczął swój podbój świata sieci
lokalnych, udowadniając, że jest
najprostszą i najbardziej użyteczną techniką budowy sieci LAN.
Niedługo potem zaczęły pojawiać
się (i znikać) kolejne techniki
wspierane przez gigantów branży
– jak choćby Token Ring opracowany przez firmę IBM. O większości
konkurencyjnych rozwiązań nikt już
nie pamięta, a sieci Ethernet wciąż
używamy w każdym niemal biurze
i domu.
Proste rozwiązania
Można przypuszczać, że powszechność technologii Ethernet wynika z
jej ogromnej użyteczności. Wystarczy
pospinać komputery kablami, dołożyć switche… i sieć zaczyna działać.
Trochę lepiej lub trochę gorzej, ale
w pierwszym ruchu nic więcej robić
nie trzeba. Jakie są ograniczenia tego
rozwiązania? Powszechnie zakładano, że tak zbudowana sieć LAN
przestanie poprawnie działać, jeśli
jej wysycenie zbliży się do około 70
proc.
Nowoczesna implementacja
technologii Ethernet umożliwia
zastosowanie nowych
sposobów transmisji danych,
takich jak oferowane przez
NASK usługi E-Line
i Metro VPN.
Jednocześnie rozwój technik przesyłu danych w rozległych sieciach
telekomunikacyjnych szedł zupełnie inną ścieżką – skupiano się
na projektowaniu i budowie sieci
zapewniających wysoką jakość transmisji. Operatorzy telekomunikacyjni zbudowali sieci SDH/SONET,
które umożliwiają realizację kanałów doskonale przenoszących bity
na największe odległości, pojawiły się też rozwiązania mieszane
13
Realizacja połączeń Ethernet
– sieci FR/ATM, w których przełączano pakiety – ale ich minusem
było to, że nadal trzeba było ściśle
definiować wirtualne kanały, które
łączyły określone punkty sieci (VC).
Dwa światy – z jednej strony techniki stosowane przez administratorów sieci LAN, z drugiej zaś sieci
WAN – musiały się w końcu spotkać. Wszak liczba kłopotliwych
dla telekomów pytań w stylu „Czy
pomiędzy oddziałami mojej firmy
można zestawić sieć Ethernet, która
połączy moje sieci LAN?” wciąż
rosła. Były to pytania o tyle istotne,
że dostarczenie połączenia Ethernet
(Layer-2) przezroczyście przenoszącego protokoły warstwy trzeciej
(takie jak IP, IPX i inne) pozwoliłoby administratorom:
samodzielnie administrować
routerami obsługującymi protokoły
warstwy trzeciej (IP, IPX),
kupować usługę prostszą,
a przez to tańszą,
realizować połączenia pomiędzy wieloma lokalizacjami – tak jak
to się dzieje w sieci LAN łączącej
wiele komputerów.
Nowe propozycje
Prośbom klientów trudno się oprzeć,
więc przez ostatnie 10 lat operatorzy telekomunikacyjni stosowali wiele karkołomnych sztuczek,
aby za pomocą technologii, które
mieli już wdrożone w swoich sieciach, dostarczyć usługę transmisji
ramek Ethernet, o których marzyli
ich klienci. W ten sposób powstały
takie rozwiązania, jak Ethernet over
SDH (czyli zestawienie pomiędzy
dwoma punktami łącza E1) czy konwersja styku abonenckiego na pro-
14
tokół Ethernet. Jednocześnie około
roku 2002 ruszyły prace standaryzacyjne mające na celu przystosowanie
techniki Ethernet (służącej początkowo do obsługi jednego biura) do
potrzeb budowy profesjonalnych
sieci rozległych świadczących usługi dla tysięcy klientów. W efekcie,
w sposób całkowicie nieoczekiwany,
ale jak najbardziej unormowany i
ustandaryzowany, operatorzy telekomunikacyjni zaczęli świadczyć usługi połączeń Ethernet punkt-punkt i
punkt-wielopunkt.
Dlaczego w sposób nieoczekiwany?
Bo do realizacji połączeń Ethernet
zaprzęgnięto w sieciach operatorskich technikę MPLS znaną wcześniej z realizacji połączeń VPN w
warstwie trzeciej (IP VPN) i służącą
dotychczas do przesyłania pakietów
IP.
Od
strony
klienta
pojawiły się urządzenia z dowolnym
(elektrycznym lub optycznym)
interfejsem Ethernet. Natomiast
operatorzy w swojej sieci rozległej
zaczęli wykorzystywać do przełączania ruchu klienckiego dodawane
przez siebie etykiety MPLS, dzięki czemu nie ingerują w nagłówki
ramek Ethernet. Pozwala to klientom na korzystanie z pełnej funkcjonalności protokołu Ethernet – mogą
oni więc na przykład konfigurować
VLAN-y w sposób całkowicie niezależny od operatora telekomunikacyjnego.
Jednocześnie udało się rozwiązać
kolejny kłopot: jak ustalić granicę
pomiędzy siecią Ethernet LAN
a siecią Ethernet WAN. Pojawiły
się urządzenia określane jako
ethernetowy punkt demarkacyjny
(Ethernet Demarcation Device),
które umożliwiają operatorom
telekomunikacyjnym pełną kontrolę
swoich usług end-to-end oraz – co
najważniejsze – monitoring parametrów SLA, takich jak:
dostępność usługi,
opóźnienie ramek,
fluktuacja opóźnienia ramek,
utrata ramek.
Przykładową implementacją tego
typu nowoczesnych usług transmisji
w technologii Ethernet dla klientów biznesowych są dwie usługi
oferowane przez NASK – pioniera
sieci VPN w Polsce.
Pierwsza z nich to usługa E-Line,
która
umożliwia
zestawianie połączeń punkt-punkt i jest
realizowana w sieci szkieletowej
NASK z wykorzystaniem techniki MPLS i routerów Juniper (RFC
4906). Operator udostępnia swoim
klientom usługę E-Line w trybie
Q-in-Q, dzięki czemu mogą oni
samodzielnie definiować aż do 4095
VLAN-ów. Jednocześnie każde
zakończenie łącza E-Line jest wyposażone w zarządzane przez NASK
urządzenie Ethernet Demarcation
Device. Takie rozwiązanie pozwala
na monitoring parametrów dostępności usługi, a tym samym na zapewnienie klientom jej wysokiej jakości.
Drugim przykładem implementacji technologii Ethernet jest usługa
Metro VPN, która rozwijana jest
przez NASK nieprzerwanie od roku
2006. Umożliwia ona realizację połączeń Ethernet pomiędzy wieloma
lokalizacjami, zapewniając komunikację „każdy z każdym”. Podobnie
Łatwość obsługi
Wirtualny tunel
(L2Circuit)
Ramka Ethernet
Użytkownika A
Etykiety MPLS
Użytkownik A
LAN-1
Użytkownik A
LAN-1
Punkt demarkacyjny
Ethernet
Sieć MPLS Operatora
telekomunikacyjnego
Rys. 1. Przykład tunelowania w sieci IP/MPLS kanału VC (L2Circuit) z ruchem klienta
jak w usłudze E-Line, tak i tu możliwe jest samodzielne konfigurowanie
VLAN przez klientów (tryb Q-in-Q),
a każde zakończenie łącza abonenckiego jest wyposażane w ethernetowy punkt demarkacyjny służący do
kontroli dostępności usługi i parametrów jakościowych transmisji.
Protokół Ethernet – łatwy w podstawowej obsłudze i przyjazny dla
administratorów sieci – nadal żyje
i ma się dobrze mimo swoich 34
lat. Operatorzy telekomunikacyjni
nauczyli się wykorzystywać jego
zalety i niwelować mankamenty,
choćby dzięki zastosowaniu nowych
rozwiązań bazujących na MPLS.
Technologia Ethernet to obecnie
jeden z najgorętszych tematów.
Już dzisiaj widać, że warto zastanowić się nad zastosowaniem rozwiązań Ethernet do budowy połączeń wewnątrzfirmowych, bo przed
nami co najmniej 34 lata rozwoju.
I kolejne, coraz bardziej wyrafinowane wcielenia tego protokołu sieciowego.
Autor jest menedżerem produktów „Sieci
Korporacyjne” w NASK
VPN Użytkownika A
(Virtual Private LAN Service)
Ramka Ethernet
Użytkownika A
Etykieta MPLS
Użytkownik A
LAN-1
Użytkownik A
LAN-1
VPLS
Użytkownika A
Użytkownik A
LAN-1
Użytkownik A
LAN-1
Sieć MPLS Operatora
telekomunikacyjnego
Punkt demarkacyjny
Ethernet
Rys. 2. Schemat sieci łączącej wiele oddziałów i zapewniającej komunikację „każdy z każdym”
dla protokołu Ethernet (VPLS)
15
BE Z P IEC Z EŃS T W O
Gromadzenie i opracow y wanie danych
PAWEŁ JACEWICZ
Śledzenie zagrożeń
w sieci
WOMBAT (Worldwide
Observatory of Malicious
Behaviors and Attack Threats)
to Światowe Obserwatorium
P
rojekt szczególny nacisk kładzie
na identyfikację przyczyn występowania zagrożeń oraz możliwe
powiązania między nimi. System,
gromadząc dane z wielu źródeł, ma
na celu stworzenie bazy danych,
Złośliwych Zachowań
i Zagrożeń. Jego celem jest
stworzenie nowatorskich metod
analizy nowych zagrożeń pojawiających się w sieci Internet.
których analiza umożliwi identyfikację charakterystyk obserwowanych zagrożeń. Heterogeniczność
źródeł danych umożliwi gruntowną
analizę informacji o zagrożeniach
w znacznie szerszej perspektywie
niż mogły to zapewnić istniejące
dotychczas systemy. Uzyskane w ten
sposób wyniki posłużą do rozwinięcia technik typu threat intelligence
(śledzenie zagrożeń), których głównym celem jest klasyfikacja grup
zagrożeń oraz ustalenie ich cech
wspólnych. Pozwoli to na szybszą
identyfikację starszych typów, które
ponownie stały się aktywne oraz
pomoże w przewidywaniu nowych
16
na podstawie
trendów.
zaobserwowanych
Wykrywanie złośliwej działalności
HoneySpider Network jest jednym
ze źródeł danych w ramach projektu WOMBAT. Należy on do klasy
hybrydowych honeypotów klienckich. Narzędzia tego typu służą do
wykrywania i analizy złośliwego
oprogramowania, które propaguje się
w sposób bierny – głównie przez
skompromitowane serwisy www.
Tworzy on system, który integruje wysoko oraz nisko interaktywne
klienckie honeypoty, zapewniając
tym samym wysoki poziom gwarancji wykrywania nawet tych ataków,
które wcześniej nie były obserwowane. Wydajność systemu honeypotów,
który potrafi sklasyfikować dziesiątki tysięcy stron www dziennie, jest
podstawowym atutem z perspektywy ilości informacji, jaką może
dostarczyć do projektu WOMBAT.
HoneySpider Network jest narzędziem, którego celem jest określenie zagrożenia, jakie niesie ze sobą
Narzędzia klasyfikacji
odwiedzenie danego adresu URL.
Poza samą klasyfikacją strony www
system gromadzi także szereg dodatkowych informacji. Tworzą one kontekst, który jest niezmiernie ważny
w określaniu źródła niebezpieczeń-
rzystać informacje dostępne w bazie
danych projektu. Rozwija się ono niezależnie od projektu HoneySpider
Network z założeniem, że będzie
wykorzystywane przez specjalistów
z dziedziny bezpieczeństwa IT, co
rzystywanych adresów IP i wersje
skompromitowanego oprogramowania pozwolą jednoznacznie wykryć
źródła ataków i pomóc w ograniczeniu ich zasięgu. W przypadku, gdy
usunięcie niebezpieczeństwa nie jest
Aplikacja do wizualizacji zależności pomiędzy przeskanowanymi stronami www
stwa, a także roli, jaką odgrywa skompromitowana strona www w scenariuszu ataku oraz potencjalnych grup
przestępczych, które mogą za atak
odpowiadać. Celem wykorzystania
systemu HoneySpider Network w
projekcie WOMBAT jest odkrywanie zależności pomiędzy skompromitowanymi serwerami www oraz
serwerami dystrybuującymi złośliwe
oprogramowanie. Określenie sieci
powiązań pozwoli na natychmiastową reakcję w przypadku pojawienia się nowego zagrożenia oraz
jego efektywniejsze usunięcie.
Oprogramowanie wizualizujące
W celu lepszej analizy danych gromadzonych przez system HoneySpider
Network tworzone jest oprogramowanie, które pozwoli w pełni wyko-
pozwala na dostosowanie go do unikalnych potrzeb, jakimi odznaczają
się zespoły reagowania na incydenty.
W swej obecnej formie prototyp
narzędzia przedstawia różnego
rodzaju powiązania pomiędzy zaobserwowanymi złośliwymi stronami
www. Poza siatką przekierowań prowadzącą do serwerów dystrybuujących złośliwe oprogramowanie narzędzie będzie umożliwiać zbudowanie
grafów zależności na bazie informacji
kontekstowych dostępnych w opisie
każdego przeskanowanego adresu
URL. Możliwe do przedstawienia
będą np. zależności oparte na informacjach o geolokalizacji każdego z
serwerów w ścieżce przekierowań,
która prowadzi do infekcji komputerów. Wzbogacone dodatkowo o charakterystyki, takie jak pule wyko-
możliwe, informacje o celu ataku są
niezmiernie ważne, aby podjąć kroki
w celu zaalarmowania odpowiednich
grup użytkowników o potencjalnym
niebezpieczeństwie. Mogą w tym
pomóc informacje takie, jak symulowana wersja przeglądarki i źródło,
z jakiego uzyskaliśmy adres URL do
przeskanowania.
Gromadzenie informacji
W czasie procesu klasyfikacji
HoneySpider Network gromadzi
podstawowe informacje o rodzaju
złośliwego oprogramowania, które
jest rozpowszechniane oraz typie
podatności, jaka była wykorzystana
w celu infekcji. Informacje tego typu
są uzyskiwane za pomocą zewnętrznych serwisów i zapisywane także
jako kontekst, w jakim została przeB I U L E T Y N NASK
17
Analiza złośliwego oprogramowania
prowadzona klasyfikacja. W swej
Podsumowanie
wersji finalnej narzędzie będzie
prezentować te oraz szereg innych
zależności, by w ostatecznej fazie
projektu WOMBAT posłużyć jako
jedna z metod identyfikacji grup
przestępczych odpowiedzialnych za
pojawienie się zagrożenia.
Wszystkie z wymienionych oraz
wiele dodatkowych danych są gromadzone w specjalnie do tego celu
zaprojektowanej bazie, co umożliwi późniejszą gruntowną analizę.
Przechowywane są w sposób umożliwiający śledzenie zmian, jakie
zachodziły od czasu pierwszego
wykrycia zagrożenia związanego z
daną witryną www. Tego typu informacje są niezmiernie przydatne w
określaniu kierunku rozwoju zagrożeń i odkrywaniu powiązań pomiędzy sposobami propagacji, typem
złośliwego oprogramowania oraz grupami przestępczymi odpowiedzialnymi za jego rozpowszechnianie.
Projekt WOMBAT jest odpowiedzią na realne zagrożenia, z jakimi
na co dzień borykają się specjaliści zajmujący się bezpieczeństwem
IT. Narzędzia, jakie powstają w
jego ramach, mają na celu ułatwienie i podniesienie efektywności ich
pracy, co w efekcie doprowadzi do
aktywnego przeciwdziałania nowym
typom ataków. Zespoły specjalistów
opracowują nowe narzędzia oraz sposoby przewidywania źródeł ataków,
by móc w efektywny sposób im
przeciwdziałać i podnosić poziom
bezpieczeństwa wszystkich użytkowników Internetu.
Źródła:
Opis projektów na stronie CERT Polska:
http://www.cert.pl/projekty
Strona projektu HoneySpider Network:
http://www.honeyspider.net/
Strona
projektu
WOMBAT:
http://www.wombat-project.eu/
Ocena poziomu zagrożeń
Dokładne określenie typu zagrożenia i grupy odpowiedzialnej za
jego powstanie wymaga współpracy wszystkich partnerów projektu.
Narzędzie do wizualizacji w stanie
obecnym (prototyp) obsługuje jedynie projekt HoneySpider Network
jako główne źródło danych. W wersji finalnej narzędzie będzie gromadzić informacje z wielu niezależnych od siebie źródeł i umożliwiać ich korelację oraz przedstawienie w spójny i łatwy do analizy przez operatora sposób. Jest
to niezmiernie ważne w szybkim
oszacowaniu poziomu zagrożenia
oraz podjęciu właściwych kroków w
celu jego usunięcia lub ograniczenia.
18
Autor pracuje w NASK w Dziale CERT
Polska
O
bserwując adresy stron internetowych, coraz częściej
można zauważyć podejmowanie
różnych prób uporządkowania
danych na tych stronach zawartych. Jedno z takich działań
można rozpoznać po obecności
dodatkowej kropki w adresie
strony internetowej. Dla lepszego
zilustrowania – przeglądając stronę pod przykładowym adresem
http://uvwxyz.pl,
w
pewnym momencie spostrzegamy, że po jednym z kliknięć
adres wyświetlony w przeglądarce wygląda następująco:
http://xyz.uvwxyz.pl.
Stale
zwiększająca się liczba informacji w Internecie oraz potrzeba pewnej indywidualizacji w
zakresie dostępu do danych w
globalnej sieci powoduje, że
coraz częściej ową dodatkową
kropkę uzyskują adresy stron
internetowych związane np. z
wydzieloną tematycznie częścią
danego serwisu, miejscowością
promowaną w ramach danego
regionu albo konkretną osobą
spośród szerszego grona prezentującego się w ramach strony
internetowej. Wiele podmiotów
dostrzegło także możliwość
Analiza prawna
DOMEN Y
KONRAD MARZĘCKI
Uaktywnienie
subdomen
komercyjnego wykorzystania potencjału wskazanych powyżej działań.
o których mowa w poprzednim zdaniu.
Czym właściwie jest owo wydzielenie? Jaki jest jego charakter faktyczny i prawny?
W strefie .pl
Kluczową kwestią dla problemów
poruszanych w niniejszym artykule
jest możliwość tworzenia subdomen
w strefie .pl. Jeżeli chodzi o subdomeny w domenie pierwszego poziomu (podobnie dla wybranych domen
drugiego poziomu wskazanych na
stronie www.dns.pl, np. com.pl,
org.pl itd.), tworzenie jest możliwe
oczywiście przez zarejestrowanie
takiej nazwy domeny w Naukowej
i Akademickiej Sieci Komputerowej
(NASK) poprzez zawarcie stosownej
umowy o rejestrację i utrzymywanie nazwy domeny. Dla wszystkich
pozostałych domen w strefie .pl
tworzenie subdomeny jest możliwe
nie poprzez, lecz w wyniku zawarcia takiej umowy, to znaczy możliwość utworzenia subdomeny będzie
posiadać abonent nazwy domeny,
dla której tworzona jest taka subdomena. Dla potrzeb niniejszego artykułu określenie subdomena będzie
używane dla oznaczania subdomen,
W praktyce abonenci tworzą subdomeny na własne potrzeby, np.
w celu tematycznego wyodrębnienia części serwisu prowadzonego w ramach stron internetowych
(np. sklep.uvwxyz.pl) lub umożliwiają takie tworzenie innym
podmiotom dla różnych celów
(np. nazwisko.uvwxyz.pl, miejsc
owość.region.uvwxyz.pl). W tym
drugim wypadku umożliwianie tworzenia subdomeny może odbywać
się nieodpłatnie (np. w serwisach
społecznościowych) albo odpłatnie.
Abonenci nazw domen coraz częściej oferują możliwość sprzedaży
subdomeny, wskazując na możliwość utworzenia i korzystania z
subdomeny w domenie, która jest
utrzymywana na ich rzecz przez
NASK. Warto zastanowić się, czy w
wypadku tak nazwanego stosunku
prawnego można odwoływać się do
przepisów dotyczących sprzedaży.
Stosownie do treści art. 535 ustawy
z dnia 23 kwietnia 1964 r. kodeks
cywilny (Dz. U. nr 16, poz. 63) przez
umowę sprzedaży sprzedawca zobowiązuje się przenieść na kupującego
własność rzeczy i wydać mu rzecz,
Mnogość informacji
dostępnych w Internecie
wymaga intuicyjnego
poruszania się w obrębie
jego zasobów
i porządkowania danych
zawartych na stronach
www. Jest to możliwe
dzięki hierarchii domen
internetowych.
19
Korzyści i zagrożenia
a kupujący zobowiązuje się rzecz
odebrać i zapłacić sprzedawcy cenę.
Jako rzecz należy rozumieć, zgodnie
z art. 45 kodeksu cywilnego, jedynie
przedmiot materialny. Nie ma wątpliwości, że subdomena, podobnie
jak domena, nie jest przedmiotem
materialnym, a zatem nie jest rzeczą.
Konieczne w tym momencie wydaje się wskazanie, że abonent rejestrując nazwę domeny .pl, nabywa względne (skuteczne jedynie
wobec NASK), wynikające z umowy
prawa do żądania utrzymywania nazwy domeny i w związku z
tym uzyskuje możliwość faktycznej wyłączności korzystania z tak
zarejestrowanej nazwy domeny, co
wynika bezpośrednio z uwarunkowań technicznych sieci Internet. W
ten sposób abonent nazwy domeny
uzyskuje jednocześnie możliwość
decydowania o tym, czy zostaną
utworzone subdomeny. Mamy tu do
czynienia z możliwością tworzenia
pewnego stanu faktycznego związanego z technicznymi uwarunkowaniami sieci Internet. Należy przy
tym zaznaczyć, że abonent będzie
posiadał możliwość zapewnienia
wskazanego powyżej stanu, o ile (i
dopóki) będzie uprawniony do żądania utrzymywania zarejestrowanej w
NASK nazwy domeny.
Oznaczenie nazwy domeny
Próbując określić charakter prawny umowy zawieranej przez abonenta nazwy domeny z innym
podmiotem w celu utworzenia i
utrzymywania subdomeny, należy wskazać, iż abonent powinien
zapewnić w takiej sytuacji umożliwienie użytkownikom Internetu
korzystanie z określonych przez taki
20
podmiot danych niezbędnych do
komunikacji w Internecie i zamieszczonych w pamięci odpowiedniego urządzenia przeznaczonego do
tego celu. Zapytania pochodzące od
użytkowników Internetu powinny
być zatem kierowane przez takie
urządzenie zgodnie z treścią danych,
które poda osoba umawiająca się w
tym zakresie z abonentem. Wydaje
się zatem, że w wypadku zawarcia takiej umowy jej przedmiotem
byłoby świadczenie usług przez
abonenta, przy czym możliwość ich
świadczenia jest ściśle związana z
obowiązywaniem umowy z NASK o
utrzymywanie nazwy domeny, dla
której ma być tworzona subdomena.
Zakończenie utrzymywania takiej
nazwy domeny przez NASK oznacza
brak faktycznej możliwości tworzenia i utrzymywania subdomen dla
danej nazwy domeny.
Kwestie sporne
W nawiązaniu do powyższego należy
stwierdzić, że tworzenie subdomen
może nieść ze sobą także skutek
inny niż wyłącznie porządkowanie
informacji dostępnych za pomocą
sieci Internet. Z jednej strony istnienie subdomeny jest uzależnione od
istnienia domeny macierzystej i podmiot, dla którego abonent utrzymuje
subdomenę, jest uzależniony od np.
terminowości dokonywania przez
tego abonenta opłat z tytułu utrzymywania nazwy domeny, a z drugiej
strony abonent umożliwiając innemu
podmiotowi korzystanie z subdomeny, może narazić się np. na problemy
związane z kwestiami naruszenia
przez ten podmiot praw osób trzecich (chociażby kwestia naruszenia
praw do znaku towarowego użytego
w treści subdomeny). Warto w tym
kontekście wspomnieć także o subdomenie „www”. Przy wskazywaniu
nazwy domeny dodanie przedrostka
„www” przed nazwą domeny,
np. „www.uvwxyz.pl”, oznaczać
będzie, iż wskazana została subdomena „www” w nazwie domeny
„uvwxyz.pl”. Nie bez znaczenia jest
fakt, że pod adresem domenowym
„www.uvwxyz.pl” może znajdować
się zupełnie inna strona internetowa niż pod adresem „uvwxyz.pl”.
Błędne oznaczenie nazwy domeny
może mieć daleko idące konsekwencje, chociażby w wypadku sporu
dotyczącego nazwy takiej domeny.
W Internecie przepływ danych jest
niezwykle szybki i odległość geograficzna nie ma istotnego znaczenia podczas szukania informacji.
Tworzenie subdomeny może wpływać na możliwość indywidualnego
zaprezentowania się czy też bardziej
intuicyjnego poruszania się w globalnej sieci, jednakże trzeba pamiętać, że jednocześnie wzrasta poziom
komplikacji samych adresów internetowych. Tym bardziej, że subdomena może stać się domeną dla
kolejnej subdomeny, a ta z kolei dla
kolejnej subdomeny itd., tworząc w
danych okolicznościach złożony system – także stosunków prawnych.
Autor reprezentuje Dział Prawny NASK
Kryteria w yboru systemu
DOMEN Y
ALEKSANDER TROFIMOWICZ
Wirtualizacja
w Dziale Domen
W ubiegłym roku stało się jasne, że z
powodu planowanych zmian w modelu obsługi partnerów biznesowych
NASK w zakresie rejestracji domen,
w szczególności wprowadzenia systemu przedpłat, liczba maszyn musi
wzrosnąć o kolejne, potrzebne do
testowania nowych funkcjonalności.
Przewidywana skala zmian w systemie rejestracji domen była na tyle
duża, że pozostawienie testowania
oprogramowania tylko w rękach
programistów uznano za niewystarczające. Zaistniała również potrzeba rozszerzenia badań dotyczących
kondycji DNS dla polskiej strefy,
które wymagały alokacji pewnych
zasobów IT. Ponadto systemy o drugorzędnym znaczeniu dla Działu
Domen funkcjonowały na maszynach, które w najbliższych latach
wymagałyby wymiany.
Reasumując, wszystkie przedstawione maszyny mają wspólną cechę:
ich zapotrzebowanie na zasoby
sprzętowe ma charakter nieregularny, by nie napisać pikowy. Z tego
względu zapadła decyzja, aby funkcjonowały one w środowisku zwirtualizowanym.
System docelowy musiał spełnić
określone wymagania. Po pierwsze
miał zapewnić sprzętową, pełną
wirtualizację (dotyczy CPU) linuksowych guestów w architekturze
x86. Po drugie miał być łatwy w
zarządzaniu. Po trzecie – z uwagi
na to, że system ten miał być pierwszym wdrożeniem tego typu w
Dziale Domen – musiał być w miarę
otwarty, by móc w razie konieczności migrować na inną technologię,
jeśli okazałoby się, że oczekiwania
w stosunku do niego nie zostały spełnione. Ostatnim kryterium
przy wyborze był potencjał rozwoju
zastosowanych w systemie technologii. To istotne, gdyż wdrożenie
tego systemu należy wpisać w kontekst długofalowej strategii migracji
systemów podlegających Działowi
Domen do środowiska wirtualnego.
Wybór technologii wirtualizacyjnej
Po analizie potrzebnej mocy obliczeniowej ustalono, że bazą sprzętową będą dwie jednostki z ośmioma
logicznymi procesorami każda oraz
z dostępem, przez FibreChannel,
do współdzielonego zasobu dyskowego obsługiwanego przez istniejącą już w firmie macierz. Na
W Dziale Domen NASK
od kilku miesięcy
działa system bazujący
na technologii
wirtualizacyjnej KVM.
Autor artykułu opisuje
przyczyny zastosowania
tego rozwiązania.
Szczególną uwagę
poświęca kryteriom wyboru
technologii spełniającej
wymagania określone
przez Zespół Obsługi
Technicznej Domen.
21
Charakterystyka libvirta
czas podjęcia decyzji w grę wchodziły rozwiązania oparte na ESX,
libvirt lub Hyper-V. Z powodów
praktycznych już na wstępie została odrzucona koncepcja budowania
systemu wokół Hyper-V, gdyż czas
i koszt potrzebny na przeszkolenie
personelu technicznego (zasadniczo
wszystkie systemy Działu Domen
to systemy Linux/UNIX) minimalizowałby jakikolwiek zysk z zastosowania produktu Microsoft. Co ważniejsze, Hyper-V nie oferuje niczego,
czego nie ma konkurencja. W wielu
aspektach technicznych wręcz jej
ustępuje (np. brak overcommitu na
pamięć operacyjną, kiepska obsługa
guestów linuksowych – dopiero w
lipcu ub.r. Microsoft podesłał patche sterowników urządzeń I/O do
włączenia do jądra Linuksa, jednak
ich status nadal jest niepewny [1]).
Skonfrontowano zatem dwa systemy koncepcyjnie do siebie zbliżone,
bo reprezentujące klaster wirtualizacyjny: jeden będący kompleksowym, zamkniętym rozwiązaniem
VMware’owym, drugi oparty na systemie Linux z oprogramowaniem
zarządzającym dostępem do zasobów dzielonych oraz na libvircie.
najmniej rozpoznawalny, to właśnie
Zarządzanie monitorami
temu i jego chłodzenie). Jednak
Czym dokładnie jest libvirt?
Zasadniczo jest to biblioteka C oferująca ujednolicone API do zdalnego,
jak i lokalnego zarządzania monitorami oraz kilkoma innymi emulatorami i kontenerami. Zazwyczaj jest
dystrybuowana razem z oprogramowaniem serwera, klientem CLI oraz
dowiązaniami do Pythona. Libvirt
potrafi zarządzać trzema monitorami: Xen, VirtualBox oraz Kernelbased Virtual Machine (KVM).
Choć z tych trzech KVM wydaje się
22
on został wybrany do testów wydajnościowych. Powodów było kilka.
Jako jedyne rozwiązanie wirtualizacyjne od kilku lat funkcjonuje w mainline jądra Linuksa, co
ma kapitalne znaczenie dla procesu zarządzania aktualizacjami.
Nie da się tego samego napisać
ani o Xenie, ani o VirtualBoksie.
Los tego ostatniego zresztą stoi
pod znakiem zapytania od wiosny
ub.r., kiedy to Oracle zdecydował się na przejęcie Suna. Trzeba
bowiem wiedzieć, iż VirtualBox jest
produktem Suna, a Oracle już ma
w swojej ofercie rozwiązanie dla
wirtualizacji o nazwie Oracle VM,
które zasadniczo bazuje na ładnie
opakowanym Xenie.
Jest jeszcze kilka pomniejszych mankamentów zarówno w VirtualBoksie
(np. obsługa SMP dla guestów
funkcjonuje dopiero od lipca ub.r.),
jak i w Xenie (brak obsługi ACPI,
a więc nie ma mowy o jakichkolwiek oszczędnościach związanych
z poborem energii na prace syselementem kluczowym wydaje się
to, że wszystkie trzy rozwiązania
do emulacji urządzeń I/O wykorzystują kod projektu QEMU, a od
marca ub.r. kod userspace projektu
KVM jest jego integralną częścią.
W przypadku Xena i VirtualBoksa
ma to swoje konsekwencje w postaci
albo wyższych kosztów rozwijania
produktu – ktoś musi backportować
zmiany w kodzie – albo zmniejszenia tempa wprowadzania nowych
funkcjonalności.
Wyniki testów
W testach platform wirtualizacyjnych VMware’a oraz linuksowej
zwrócono dużą uwagę na wydajność
I/O, gdyż właśnie tego typu operacje stanowią wąskie gardło środowisk wirtualizacyjnych. W ramach
testów badano prędkość transmisji
TCP i UDP pomiędzy guestami
rozlokowanymi na dwóch różnych
maszynach hostujących. Wyniki
były porównywalne i w zupełności satysfakcjonujące (wysycenie
łącza 1GE w 50-70 proc. dla TCP,
dla UDP w 10-20 proc.). Testy
operacji zapisu i odczytu dysków
w maszynach wirtualnych również
nie były rozstrzygające (KVM:
przy 2Gb łączu FC odczyt z włączonym cache – 2500MB/s, zapis
– 100MB/s; VMware miał słabsze
wyniki odczytu). Produkt VMware
wyróżniał się dopracowaniem.
Prócz jednego narzędzia do migracji maszyn linuksowych do środowiska zwirtualizowanego (w ogóle
nie spełniał swojej funkcji) wszystko zadziałało bezproblemowo.
Jednakże wymagane licencje produktów VMware kosztowałyby
około 20 tys. USD. Przy dalszej
rozbudowie klastra cena mogłaby
okazać się problematyczna.
Z kolei rozwiązanie bazujące na
KVM jest bardzo elastyczne i oferuje
możliwości, które nieprędko pojawią
się u konkurencji. Są to m.in. możliwość dedykowania guestom urządzeń PCI hosta (interesująca jest
obsługa projektów DNSSEC-owych
przez guesty mające do dyspozycji
karty kryptograficzne), wdrożenia
rygorystycznej polityki bezpieczeństwa na bazie SELinuksa poprzez
Budowa klastra
definiowanie odrębnych domen dla
każdego hosta bądź też zarządzanie
zasobami w ramach mechanizmów
cgroups [2].
Również KVM ma swoje niedogodności. Wynikają one jednak z tego,
że zarówno ten projekt opensource’owy, jak i projekt libvirt dynamicznie się rozwijają (np. w czasie
testów nie można było przeprowadzić migracji live przy pomocy
libvirta). Niemniej jednak nie ulega
wątpliwości, że usterki z czasem
zostaną usunięte. Mając na uwadze fakt, że w swojej podstawowej
funkcjonalności obydwie konfiguracje klastra niczym się nie różniły, a rozwiązanie oparte na KVM
prezentuje największy potencjał do
dalszego rozwoju, to właśnie ono
zostało wybrane.
Konfiguracja systemu
Jak już wcześniej wspomniano, na
klaster składają się dwa serwery.
Zarówno zasoby dyskowe hostów
(bootowanie po FC), jak i guestów
znajdują się na macierzy. Dla
zwiększania niezawodności systemu dostęp do niej realizowany jest
przez dwie niezależne ścieżki FC
z każdego serwera, a same dane
macierzowe przechowywane są w
dwóch oddalonych o kilkanaście
kilometrów miejscach.
Obrazy dysków guestów znajdują
się na zasobie dzielonym kontrolowanym przez Clustered Logical
Volume Manager, który wchodzi w
skład Red Hat Cluster Suite. Jako że
każdy dysk guesta reprezentowany
jest przez jeden logiczny wolumen,
zarządzanie nimi jest bardzo łatwe i
odbywa się z poziomu systemu ope-
racyjnego hosta. Prowadzone były
również próby z systemem GFS2.
Zaletą tego systemu plików jest
to, że obsługuje pliki typu sparse,
co pozwoliłoby na efektywniejszą
gospodarkę przestrzenią dyskową.
Niestety, w trakcie testów okazało
się, że wydajność I/O takiego systemu plików jest niewystarczająca.
Ruch sieciowy do każdego serwera
doprowadzony jest łączem trunkowym. Na każdym hoście skonfigurowano mostki programowe dla
każdego VLAN-u, z którego korzysta bądź host, bądź którykolwiek
z guestów. Taka konstrukcja sieci
pozwoliła na wprowadzenie kontroli
ruchu zarówno wchodzącego, jak i
wychodzącego na poziomie hosta,
wykorzystując tzw. bridge firewall.
Reguły dostępu są wspólne dla
wszystkich serwerów znajdujących
się w klastrze, co znacząco ułatwia
administrowanie.
Zarządzanie guestami odbywa się
przy pomocy libvirta. Zdalny dostęp
realizowany jest z wykorzystaniem
protokołu TLS. Autoryzacja odbywa się na podstawie certyfikatów
X.509. Dostęp do (graficznej) konsoli wirtualnej maszyny realizowany
jest przez serwer VNC (w ramach
protokołu TLS, z wykorzystaniem
certyfikatów X.509 do autoryzacji).
W chwili obecnej polityka backupowa maszyn wirtualnych jest prowadzona z poziomu systemów operacyjnych tych maszyn. W momencie,
gdy LVM w wersji klastrowej zostanie wzbogacony o możliwość tworzenia snapshotów wolumenowych,
możliwy będzie backup guestów
z poziomu systemu operacyjnego
hosta.
Perspektywy
Na początku września 2009 r. Red
Hat przedstawił wersję 5.4 swojego flagowego produktu Red Hat
Enterprise Linux. Jest ona o tyle
znacząca, że KVM stał się integralną
częścią tej dystrybucji i jest
pierwszym etapem migracji z Xena
na KVM [3]. O tym, że KVM ma
się dobrze, nie świadczą deklaracje
działu PR Red Hata, lecz wysoka
aktywność na listach dyskusyjnych
deweloperów
reprezentujących
najbardziej
znaczące
firmy
działające na rynku linuksowym, a
także kolejne ciekawe pomysły na
poprawę wydajności KVM. Wśród
nich bardzo obiecująco wygląda projekt AlacrityVM [4].
Klaster wirtualizacyjny w Dziale
Domen NASK spełnia swoje
zadanie. Uzyskano konsolidację na
poziomie 4:1, znalazło się także
miejsce dla kolejnych maszyn
wirtualnych. W tym w zasadzie
pilotażowym projekcie uniknięto
nadmiernych kosztów, a zarazem
uzyskano elastyczną architekturę.
To dobra informacja na przyszłość.
Literatura
[1]
http://groups.google.com/group/
fa.linux.kernel/browse_thread/thread/65
82a78df3cf6291/96a3fd9cba577aec?hl=e
n&lnk=gst&q=Hyper+V#96a3fd9cba5
77aec
[2] http://lxr.linux.no/#linux+v2.6.31/
Documentation/cgroups/
[3]
http://www.redhat.com/promo /
qumranet/
[4] http://developer.novell.com/wiki/
index.php/AlacrityVM
Autor pracuje w Dziale Domen NASK
23
IN T ERNE T
ADAM BERGER
Filmy w technologii Flash
TOMASZ DYCZKO
Streaming
wideo w Polska.pl
W portalu Polska.pl
zostało zastosowane
oprogramowanie
prezentujące materiały
wideo w technologii,
która stała się standardem.
Wybrano Flash Media
S
erwis wideo w portalu Polska.pl
(wideo.polska.pl) istnieje od
listopada 2007 roku. Windows
Media Player – początkowo zbudowany w oparciu o odtwarzacz –
został zmodyfikowany w październiku 2009 roku i obecnie oferuje
filmy w technologii Flash. W związku ze wzrastającą liczbą odwiedzających serwis zdecydowaliśmy się
na zmianę technologii streamingu.
Windows Media Player. Statystyki
wskazują, że wzrasta liczba naszych
użytkowników korzystających z
Linuksa (i nie tylko), którzy – niestety – przy standardowych ustawieniach nie mogli odtworzyć materiału wideo. Oczywiście istnieją
możliwości odtwarzania w Linuksie,
jednak wymaga to pewnego nakładu pracy po stronie użytkownika
w zależności od posiadanej przez
Interactive Server.
Rys. 1. Widok odtwarzania
Dotychczasowe rozwiązania pozwalały cieszyć się prezentowanymi
materiałami użytkownikom korzystającym z systemu operacyjnego
MS Windows, który domyślnie
zaopatrzony jest w odtwarzacz
24
niego dystrybucji. Dlatego postanowiliśmy wdrożyć oprogramowanie, które pozwala nam prezentować materiały wideo w technologii,
która stała się standardem. Wybór
padł na Flash Media Interactive
Funkcje oprogramowania
Server. Za pomocą tego oprogramowania – dzięki technologii Flash
– pozbywamy się w dużej mierze
wyżej opisanego problemu. Jedyny
wymóg, jaki stawiany jest użytkownikowi, to posiadanie klienta Flash.
W odróżnieniu od innych oprogramowań FMS (Flash Media Server)
oferuje nowy protokół transmi-
strumieniowe transmisje wideo
HD/H.264 w czasie rzeczywistym,
dostarczanie wideo na urządzenia przenośne z oprogramowaniem
Flash Lite 3,
wykrywanie przepustowości,
publikowanie wielopunktowe,
obsługa przekierowań serwera,
dostęp do danych strumieniowych.
sji RTMP (Real Time Messaging
timedialne na żądanie. Oznacza to,
że nie będzie niepotrzebnie zużywał swojego oraz naszego łącza,
oczekując na załadowanie całości
filmu. Zużyje łącze tylko na oglądaną przez siebie część serwowanego
materiału. Jest to bardzo przydatne w przypadku, gdy odwiedzający
dysponuje łączem z limitem transmisji danych lub korzysta z sieci
GSM
Protocol). Jest to protokół stworzony przez firmę Adobe do stosowania streamingu wideo, audio i
innych danych pomiędzy odtwarzaczem a serwerem. Różnice między
innymi protokołami przeznaczonymi do streamingu są zasadnicze.
Niegdyś uważany za standard, protokół RTSP (Real Time Streaming
Protocol), jest domyślnym protokołem dla streamingu mediów windowsowych, jest także wykorzystywany do serwowania RealMedia/
RealVideo/RealAudio, QuickTime
(.mov, .mp4, .sdp). Protokół MMS
jest zaś stosowany tylko i wyłącznie
do streamingu mediów windowsowych. Wykorzystując RTMP, jesteśmy w stanie transmitować pliki
flash w formacie .flv, .f4v, .swf, nie
martwiąc się o system operacyjny
odbiorcy.
Najważniejsze funkcje oprogramowania:
dynamiczne transmisje strumieniowe,
skalowalność,
łatwiejsza implementacja,
bezpieczniejsze dostarczanie
zawartości,
niezawodne protokoły dostarczania,
wideo H.264 i audio HE-AAC,
Rys. 2. Panel administracyjny Flash Media Interactive
Server
Podsumowując – Media Interactive
Server to unikalne połączenie
wydajnych strumieniowych transmisji wideo i elastycznego środowiska tworzenia oraz dostarczania
interaktywnych aplikacji multimedialnych do obsługi społeczności,
przeznaczone dla możliwie szerokiego kręgu odbiorców.
Zarządzanie konsolą
administracyjną
Wideo na żądanie
Dzięki FMS zyskujemy na wydajności. Oprogramowanie jest w stanie
przyjąć praktycznie nieograniczoną
liczbę gości, zużywając przy tym
bardzo małą ilość zasobów procesora oraz pamięci fizycznej, co możemy zaobserwować na wykresach
(rys. 2).
Dzięki technologii VoD (Video on
Demand) użytkownik nie musi czekać na załadowanie całego materiału wideo, aby przewinąć film do
wybranego przez siebie miejsca.
Wczytuje wybrane materiały mul-
Zarządzanie
oprogramowaniem
odbywa się za pomocą intuicyjnego panelu administracyjnego
dostępnego z poziomu przeglądarki internetowej. Jest to możliwe
25
Dane techniczne
dzięki wbudowanemu w oprogramowanie serwerowi www – apache2.
Do funkcjonalności panelu administracyjnego należy:
przegląd statystyk wydajności
komputera, na którym są uruchomione aplikacje,
informacje na temat połączenia z
serwerem,
informacje na temat aplikacji
znajdujących się na serwerze lub
hostów wirtualnych,
przegląd licencji serwera,
przegląd dziennika dostępu oraz
logów serwera,
informacje na temat bieżącego
streakingu,
informacje o udostępnionych
obiektach.
Kodowanie
Wygenerowane z programu do montażu nieliniowego (Ulead Media
Studio Pro 8 lub Adobe Premiere
CS4) pliki (zazwyczaj w postaci
AVI DV-PAL lub też pliki projektu
programu AP) trafiają do Media
Encodera, który konwertuje je do
postaci prezentowanej użytkownikowi.
Umieszczane na serwerach zakodowane pliki mogą mieć format FLV
lub F4V.
FLV zawierają dane dźwiękowe
oraz wideo zakodowane przy użyciu kodeków wideo On2 VP6 lub
Sorenson Spark z kodekiem dźwiękowym MP3,
F4V zawierają dane wideo zakodowane przy użyciu kodeka H.264
i dane dźwiękowe zakodowane przy
użyciu kodeka AAC.
26
Rys. 3. Poglądowy rysunek obrazu wyświetlanego z
przeplotem (A) i bez przeplotu (B)
Z przeplotem czy bez?
Przeplot to nic innego jak technika naprzemiennego wyświetlania parzystych i nieparzystych linii
obrazu (rys. 3). W jednym przebiegu, trwającym 1/50 sekundy, zostają
wyświetlone poziome linie parzyste,
a w kolejnym, trwającym także 1/50
sekundy – nieparzyste linie obrazu.
Standard telewizyjny PAL (rejestrowany przez nasze kamery) zapisuje
obraz z prędkością 25 klatek, czyli
50 półobrazów na sekundę.
W praktyce przeplot wykorzystuje się w obrazach emitowanych na
ekranie telewizora bądź przy tworzeniu płyty DVD. Do streamingu
w Internecie nie ma potrzeby ograniczania pasma i dzielenia klatki
na półobrazy. Klatka jest przesyłana w całości, co sprowadza się
do połączenia dwóch półobrazów w
jeden obraz trwający 1/50 sekundy.
W efekcie mamy 50 pełnych klatek wyświetlanych w ciągu sekundy.
Eliminacja przeplotu z materiału
dokonywana jest podczas kodowania projektu do postaci finalnej.
Odtwarzacz został wyposażony w
standardowe, a zarazem niezbędne
funkcje. Dodatkowo postanowiliśmy umożliwić użytkownikom oglądanie materiałów wideo w wyższej
jakości HQ (High Quality).
Prezentacja materiału wideo następuje w formacie 16:9 (wcześniejsze
filmy mają format 4:3). Materiał
zachowuje także niezmienne proporcje, poczynając od rejestracji na
taśmie filmowej, poprzez obróbkę,
na zakodowaniu kończąc.
Autorzy pracują w NASK
w Zespole Polska.pl
Modele zagrożeń aglomeracji
B A DA NI A
EWA NIEWIADOMSK A-SZYNKIEWICZ
ADAM KOZAKIEWICZ
Wspomaganie zarządzania kryzysowego
S
ytuacje
kryzysowe
destabilizujące społeczności mogą
być konsekwencją różnych zdarzeń,
takich jak katastrofy naturalne czy
techniczne powodowane zjawiskami przyrody i działalnością człowieka, działania militarne, akcje terrorystyczne i inne. W literaturze [1]
można znaleźć wiele definicji sytuacji kryzysowej i kryzysu będącego
jednym z elementów i punktem
przełomowym sytuacji kryzysowej. Społeczeństwa, wykorzystując
nowoczesne rozwiązania techniczne oraz potencjał intelektualny i
gospodarczy, próbują zabezpieczać
się przed wystąpieniem zagrożeń,
a w przypadku zaistnienia sytuacji
kryzysowej starają się pomniejszać
jej negatywne skutki.
ne problemy z podjęciem właściwej
Wraz z rozwojem technologii informatycznych coraz większą rolę w
opracowywaniu strategii działań
w sytuacji kryzysowej odgrywają
komputerowe systemy wspomagania decyzji DSS (Decision Support
Systems). Trudno wyobrazić sobie,
aby decyzje w sytuacjach zagrożeń
były podejmowane w sposób automatyczny. Z drugiej strony, decydent (człowiek) może mieć poważ-
nym systemie rzeczywistym oraz
decyzji, zważywszy, że prowadzi
działania operacyjne w trudnych
dla niego warunkach i ma do analizy oraz przetworzenia olbrzymi
zestaw informacji i danych pomiarowych napływających z zagrożonego obszaru. W takich przypadkach
bardzo ważne może być wsparcie
oferowane przez systemy DSS.
Do ich budowy wykorzystywane
są nowoczesne techniki modelowania, optymalizacji, sterowania
i symulacji oraz różne metodyki
tworzenia programów konwersacyjnych. Kluczowymi elementami
W artykule omawiamy
wyniki prac wykonanych
w ramach zakończonego
projektu badawczego
zatytułowanego „Modele
zagrożeń aglomeracji
miejskiej wraz z systemem
zarządzania kryzysowego
na przykładzie m.st.
Warszawy”.
systemów DSS są symulatory, tj.
programy komputerowe stanowiące
implementacje modeli opisujących
procesy przebiegające w rozważabazy danych pomiarowych, w tym
danych historycznych. Wspomniane
systemy informatyczne stanowią
nie tylko wsparcie dla decydenta
podczas działań antykryzysowych.
Mogą być również z powodzeniem
wykorzystywane do analizowania
różnych sytuacji, szkolenia personelu, prowadzenia gier wojennych i
weryfikowania obowiązujących lub
27
Uczestnicy i beneficjent projektu
planowanych do wdrożenia procedur zarządzania kryzysowego.
System dla Warszawy
Sytuacje kryzysowe są szczególnie
groźne w miejscach występowania
dużych skupisk ludności, a więc w
aglomeracjach miejskich. Powstają
tu efekty synergii, które wpływają na gwałtowne obniżenie stanu
bezpieczeństwa mieszkańców i
infrastruktury miejskiej. Znacznie
trudniejsze jest również opracowanie poprawnych modeli opisujących szybkozmienne, powiązane
28
Zapewnienie bezpieczeństwa obywatelom jest jednym z podstawowych
zadań państwa. Tradycyjnie bezpieczeństwo państwa oznaczało przede
wszystkim budowanie potencjału militarnego. Obecnie obejmuje ono nie
tylko działania wojskowe i polityczne, ale również wykorzystanie nowoczesnych technologii, w tym technik informacyjnych i możliwości
współczesnej nauki. Ważnym elementem działań ograniczających wpływ
zagrożeń na funkcjonowanie społeczeństw jest prowadzenie prac naukowo-badawczych, których celem jest analiza zjawisk powodujących wystąpienie
sytuacji kryzysowych oraz opracowanie sposobów ich powstrzymywania.
wzajemnie procesy i zjawiska, a tym
samym skonstruowanie symulatorów. W kraju i na świecie podejmo-
wane są liczne próby, których celem
jest przygotowanie odpowiednich
narzędzi wspierających akcje antykryzysowe w dużych miastach. Od
kilku lat pracownicy NASK biorą
aktywny udział w pracach poświęconych tej tematyce.
W czerwcu 2009 r. zakończył się
trzyletni projekt badawczy zamawiany przez MNiSW pt. „Modele
zagrożeń aglomeracji miejskiej wraz
z systemem zarządzania kryzysowego na przykładzie m.st. Warszawy”
(PBZ-MIN-011/013/2004). Projekt
był realizowany przez konsorcjum złożone z sześciu jednostek
prowadzących prace badawczo-rozwojowe, tj. Instytutu Energii
Atomowej
(IEA),
Instytutu
Meteorologii i Gospodarki Wodnej
(IMiGW), Instytutu Łączności
(IŁ), Naukowej i Akademickiej
Sieci Komputerowej (NASK),
Instytutu Organizacji i Zarządzania
w
Przemyśle
(ORGMASZ),
Wojskowego Instytutu Higieny
i Epidemiologii (WIHiE); czterech uczelni wyższych: Akademii
Obrony
Narodowej
(AON),
Politechniki Warszawskiej (PW),
Wojskowej Akademii Technicznej
(WAT), Szkoły Głównej Służby
Pożarniczej (SGSP) oraz firmy
Analiza procedur
ZESPÓŁ REAGOWANIA KRYZYSOWEGO
BD
zewnętrzne
MONITORING
Prezentacja wyników (2D i 3D)
Baza wiedzy
antykryzysowej
Wzorce sytuacji
kryzysowych i reguł
rozpoznawania
Ocena aktualnego stanu
bezpieczeństwa.
Prognozowanie
możliwości wystapienia zagrożeń
Baza danych o aktualnym stanie
elementów aglomeracji
Rozpoznanie sytuacji kryzysowej
Stan aglomeracji
Wypracowanie decyzji
Wzorce wariantów
działania
Połączenia dla elementów wykonawczych
Baza danych normatywnych
Symulatory rozwoju zagrożeń
Wzorce zasobów normatywy
Z rozgrywaniem wariantów symulacja rozwoju sytuacji
z uwzględnieniem decyzji lub bez
Rys. 1. Struktura systemu ISWZK
konsultingowej prowadzącej prace
badawczo-wdrożeniowe ITTI Sp.
z o.o. Funkcję instytucji wiodącej
i koordynatora pełniła WAT, a kierownikiem projektu był profesor
Andrzej Najgebauer.
Celem projektu było opracowanie i
wykonanie prototypu informatycznego systemu wspomagania zarządzania kryzysowego (ISWZK) dla
miasta stołecznego Warszawy.
conych modelowaniu zagrożeń dla
innych dużych aglomeracji miejskich oraz przy opracowaniu modeli
zagrożeń dla całego kraju. Mogą
one także stanowić element projektów realizowanych dla różnych
instytucji administracji publicznej,
takich jak Komenda Główna Policji,
Komenda Główna Straży Pożarnej,
Urząd Marszałkowski Województwa
Mazowieckiego.
Głównym beneficjentem był Urząd
m.st. Warszawy, a w szczególności
Centrum Zarządzania Kryzysowego.
Przewiduje się, że uzyskane rezultaty będą wykorzystane nie tylko
w Warszawie, ale również znajdą
zastosowanie w projektach poświę-
Prace badawcze prowadzone były w
dwóch obszarach. Pierwszy dotyczył
metod modelowania i prognozowania zagrożeń oraz procedur zarządzania kryzysowego w aglomeracji
warszawskiej. Rozważano następujące zagrożenia: powodziowe i
klęski żywiołowe, pożarowe, epidemiologiczne, chemiczne, radiacyjne,
systemu energetycznego, systemu
wodociągów i kanalizacji, sieci dystrybucji wody i sieci ciepłowniczej,
systemu transportowego, infrastruktury telekomunikacyjnej i teleinformatycznej, porządku publicznego,
militarne i terrorystyczne.
Rezultatem badań było opracowanie
katalogu zagrożeń ze zwróceniem
szczególnej uwagi na ich źródła,
skutki, a także metody zapobiegania wystąpieniom zagrożeń i sposoby ich likwidacji. Dokładnej analizie
poddano stosowane obecnie metody monitorowania i prognozowania.
Zaproponowano modyfikacje istnieB I U L E T Y N NASK
29
Zagrożenia sieci teleinformatycznej
Obszar objęty
pośrednim zagrożeniem
teleinformatycznym
Rys. 2. Symulacja skutków zagrożenia teleinformatycznego
jących rozwiązań w celu poprawienia ich skuteczności oraz opracowano nowe podejścia. Dokonano
przeglądu dostępnych modeli zagrożeń oraz ich komputerowej implementacji, przedstawiono propozycje
nowych rozwiązań. Następnie skoncentrowano się na analizie obowiązujących obecnie procedur zarządzania kryzysowego. Szczególną
uwagę zwrócono na identyfikację
słabych punktów procedur oraz
istotnych braków, jak również na
wskazanie obszarów, dla których
jeszcze takie procedury nie zostały
przygotowane. Przedstawiono również propozycje metod wspomagania decydenta przy wykorzystaniu
nowoczesnych technologii informatycznych oraz określono zakresy
danych niezbędnych do realizacji
procedur zarządzania.
30
W ramach drugiego etapu prowadzono prace projektowe i implementacyjne, których celem było
wykonanie prototypu systemu do
wspomagania zarządzania kryzysowego ISWZK. Ogólną strukturę systemu prezentuje rysunek 1.
Opracowano referencyjną architekturę systemu i wzorce projektowe
interfejsów operatora, usługi udostępniania i obrazowania danych
z wykorzystaniem systemów GIS
oraz zaproponowano architekturę podsystemu łączności w zarządzaniu kryzysowym. Wykonano i
zweryfikowano symulatory implementujące modele rozważanych w
projekcie zagrożeń, przygotowano
bazy danych. Prace wykonane w
ramach projektu podsumowano w
monografii pt. „Modele zagrożeń
aglomeracji miejskiej wraz z systemem zarządzania kryzysowego
na przykładzie miasta stołecznego
Warszawy” wydanej przez WAT [2].
Badania prowadzone przez pracowników NASK dotyczyły zagrożeń
dla infrastruktury teleinformatycznej oraz zagrożeń powodziowych
wywołanych wezbraniami Wisły.
Zagrożenia infrastruktury
teleinformatycznej
Infrastruktura telekomunikacyjna i
teleinformatyczna stanowi obecnie
istotny element działania aglomeracji [3]. Można oczekiwać, że już
w nieodległej przyszłości będzie to
infrastruktura krytyczna. Zadanie
kierowane i realizowane przez
zespół z NASK dotyczyło właśnie
zagrożeń sieci teleinformatycznej.
W ramach projektu opracowana
została wstępna koncepcja symulatora zagrożeń wewnętrznych (bez-
Minimalizowanie strat
pośrednich) oraz skutków zagrożeń
wewnętrznych i zewnętrznych dla
infrastruktury telekomunikacyjnej
i teleinformatycznej aglomeracji.
Wskazuje ona na możliwości, jakie
powinien oferować symulator oraz
wyjaśnia zasady współpracy z pozostałymi modułami systemu ISWZK.
Przedstawiona specyfikacja obejmuje główne założenia, wymagania
funkcjonalne i niefunkcjonalne oraz
kluczowe scenariusze, które powinny być realizowane przez symulator.
Zaproponowano również architekturę symulatora oraz technologie
informatyczne do jego realizacji.
Przykładową symulację skutków
zagrożenia sieci teleinformatycznej
prezentuje rysunek 2.
W przypadku powodzi
NASK był również jednym z wykonawców zadania koordynowanego
przez Politechnikę Warszawską,
a poświęconego zagrożeniom
Warszawy wywołanym wezbraniami Wisły. W ramach wykonanych
prac zidentyfikowano zagrożenia
powodziowe, wskazano na przyczyny i skutki powodzi, dokonano
oceny istniejącego systemu osłony
hydrologicznej oraz przeanalizowano i oceniono metody operacyjnego
prognozowania przejścia fali powo-
dziowej Wisłą w rejonie Warszawy.
Przeanalizowano konkretne zdarzenia w ujęciu historycznym [4],
przywołując archiwalne dane i
opisy powodzi. Scharakteryzowane
zostały następstwa zalania wodą
wiślaną różnych rodzajów obiektów
zabudowy i infrastruktury technicznej znajdującej się na terenach
zalewowych w obrębie Warszawy.
Wskazano na ogromne niebezpieczeństwo związane z ewentualną
awarią wałów. Przedstawiono uwarunkowania prawne oraz współczesne poglądy na problematykę ochrony przeciwpowodziowej. Omawiając
metody zapobiegania i minimalizowania strat, zwrócono szczególną
uwagę na operacyjny monitoring,
prognozowanie zagrożeń i sprawny
system ostrzegania.
Głównym celem zadania było opracowanie projektu oraz komputerowa
realizacja systemu informatycznego
do monitorowania i prognozowania zagrożeń powodziowych zintegrowanego z systemem ISWZK.
Podstawowymi elementami systemu są symulatory przejścia fali przez
koryto i dolinę Wisły. Zakłada się,
że będzie on wspomagał Centrum
Zarządzania Kryzysowego przy
podejmowaniu decyzji dotyczących
ogłoszenia alarmu powodziowego,
ustalenia rozmiarów i lokalizacji
terenów zagrożonych, rozpoczęcia
ewakuacji mieszkańców, zabezpieczenia obiektów o szczególnym znaczeniu dla funkcjonowania miast
itp. Przewiduje się również jego
wykorzystanie do prowadzenia
analiz i monitorowania sytuacji w
obszarze aglomeracji miejskiej w
okresach, gdy nie ma zagrożenia
powodzią ze strony Wisły.
Literatura
[1]E.
Jendraszczak,
W.
Kozłowski,
Zarządzanie w sytuacjach kryzysowych,
Generic Crisis Management Handbook,
MON-DSO, Warszawa 1997.
[2]A. Najgebauer (red.), Modele zagrożeń
aglomeracji miejskiej wraz z systemem zarządzania kryzysowego na przykładzie miasta
stołecznego Warszawy, WAT, Warszawa
2009.
[3]M. Kaeo, Tworzenie bezpiecznych sieci,
Wydawnictow MIKOM (Cisco Press),
2001.
[4] B. Fal, P. Dąbrowski, Dwieście lat
obserwacji pomiarów hydrologicznych Wisły
w Warszawie, cz. 1 i 2, Gospodarka wodna,
Warszawa 2001.
Autorzy reprezentują
Pion Naukowy NASK
Adres: ul. Wąwozowa 18, 02-796 Warszawa, tel. (22) 38 08 200, e-mail: [email protected]
Redakcja: Maria Baranowska. Współpraca: Anna Maj, Ernest Kacperski
Projekt okładki i przygotowanie do druku: Jarosław Olszewski
Redakcja zastrzega sobie prawo do skrótu i opracowania redakcyjnego otrzymanych tekstów.
31

Cały raport w formacie pdf

Transkrypt

Podobne dokumenty

NASK Prawnik/Radca prawny/Adwokat

NASK Kupujmy rozważnie - akcja „Zakup kontrolowany” przypomina

NASK Czy cyfrowy świat jest dla dzieci bezpieczny?

NASK Raport rynku nazw domeny .PL za trzeci kwartał 2016

NASK NC Cyber - Narodowe Centrum Cyberbezpieczeństwa

gazeta.pl (15-03-2007) - Sąd Arbitrażowy przy Krajowej Izbie

Nazwy domen - Core IT Program

Generuj PDF z tej stronie