Bezpečnostní tým na VŠB-TUO

Bezpečnostní tým na VŠB-TUO

Ing. Radomír Orkáč VŠB-TUO, CIT 9872 14.4.2011, Ostrava [email protected]

O nás 

Bezpečnostní tým 



Martin Pustka, Jiří Grygárek, Pavel Jeníček, Radomír Orkáč.

Síť VŠB-TUO má název TUONET: 

158.196.0.0/16,



2001:0718:1001::/48,



20841 studentů a 2788 zaměstnanců (12.4.2011),



přes 12000 registrovaných zařízení,



běžně 900-1000 klientů WiFi sítě ”současně”,



nejvyšší špička přesáhla 1200 klientů WiFi.

Historie 



 

Srpen 2008 

Ostrý provoz IDS Snort.



Tvorba návodů (odvirování, aktualizace OS, …).

Září 2008 

Helpdeskový systém (Request Tracker).



Definice postupů a formalizace stávajícího stavu.



Detekce sdílení dat (porušování autorského z.).

17.12. 2008 – provozní řád. 25.11. 2010 – sběr netflow dat.

Co řešíme.. 

Řešení bezpečnostních incidentů: 

malware (škodlivý kód),



porušování zákona a pravidel pro připojení,



napadání, skenování,



rozesílání nevyžádáné pošty,



zneužívání diskuzních fór a návštěvních knih,



krádeže IP adres (užití bez registrace),



neoprávněný provoz bezdrátových přístup. bodů,



phishing.

Postup při řešení 

Přijetí incidentu.



Zdokumentování pracovníkem bezp. týmu.



Závažná ohrožení - blokace uživatele, stanice, webu.



Kontaktování uživatele / správce.





Řešení incidentu provádí uživatel stanice / příslušný správce stanice (např. fakultní, rektorátní). Uživatel / správce, po vyřešení problému, informuje o způsobu a výsledcích pracovníka bezp. týmu.

Postup při řešení 



Pracovník bezp. týmu dohlíží na řešení problému. Po přijetí informace o vyřešení od oprávněné osoby a po ověření tohoto faktu může incident uzavřít. Při uzavření incidentu vyrozumí pracovník bezp. týmu o tomto faktu uživatele i správce koncové stanice a zajistí publikaci tohoto faktu v informačních systémech.

Informace pro řešení BI 



Uchováváme záznamy o automatickém přidělování IP adres jednotlivým počítačům. Uchováváme záznamy autentizačního serveru. 



Bezdrátová síť (WiFi) a vzdálené připojení do naší sítě (VPN).

Evidenční / registrační systém Netis. 

Koleje a Centrum Informačních technologií, … .



3Q 2008 všechny nové registrace.



Eviduje se IP adresa, MAC adresa, login, čas.

Informace pro řešení BI Hlídáme především: 

sdílení chráněných dat (hlavně P2P, rapidshare),



zneužívání diskuzních fór,



krádež IP adres,



měření přenesených dat,

Externí podněty: 

CESNET,



BayTSP Inc., zástupci Columbia Pictures, ...



Policie ČR.

Oznámení / denní sestavy IP/DNS: 158.196.48.x / kolcxxx.vsb.cz MAC: 00:23:8b:ab:cd:ef Login: abc001 (alexander abecedny) Tikety v idesku: #109xx (zavirovani (kolcxxx.vsb.cz) - [abc001]|resolved|bezpecnostni sitove incidenty) Zacatek: 2011-04-13 10:04:40.751914 Konec: 2011-04-13 23:59:54.084523 Netflow: 263 (spojeni) x SMTP_activity mtain-me.r1000.mx.aol.com mtain-mg.r1000.mx.aol.com mtain-mh.r1000.mx.aol.com mtain-ma.r1000.mx.aol.com mtain-mc.r1000.mx.aol.com mtain-md.r1000.mx.aol.com mc.mx.aol.com mtain-mp.r1000.mx.aol.com 64.12.139.193 mtain-mi.r1000.mx.aol.com bay0-mc1-f.bay0.hotmail.com bay0-mc2-f.bay0.hotmail.com bay0-mc3-f.bay0.hotmail.com bay0-mc4-f.bay0.hotmail.com col0-mc1-f.col0.hotmail.com col0-mc2-f.col0.hotmail.com col0-mc3-f.col0.hotmail.com col0-mc4-f.col0.hotmail.com 65.55.92.136 mx3.hotmail.com mx4.hotmail.com mx1.hotmail.com mta-v2.mail.vip.mud.yahoo.com mtav3.mail.vip.mud.yahoo.com mta-v5.mail.vip.mud.yahoo.com mta-v1.mail.vip.ac4.yahoo.com mta-v2.mail.vip.ac4.yahoo.com pv-in-f27.1e100.net mta-v1.mail.vip.sk1.yahoo.com mta-v3.mail.vip.sk1.yahoo.com 36 x IP nevypsana..

Oznámení / denní sestavy 158.196.xxx.xxx | pcx333x.vsb.cz MAC: ab:cd:ab:cd:ab:cd Login: abc001 (alexander abecedny) Kalkulace: 129 Pocet: 169 Cil.IP: 1 Cil.nonDNS: 0 Ohodn: 1/1 Kalkul: 169.00 Incident: Downadup/Conficker A or B Worm reporting 158.196.xxx.xxx | pcx333x.vsb.cz MAC: ab:cd:ab:cd:ab:cd Login: abc001 (alexander abecedny) Upload: 100 MB torrent: The Frames [9 Albums] + The Swell Season + Once OST torrent: X-Men.Origins.Wolverine-RELOADED dcpp: Pinnacle Studio Ultimate v12 0 0 6163 with Plug-Ins

Policie ČR Žádost o zjištění uživatele IP adresy. ... Zdejší součást Policie ČR provádí šetření podezření z možného spáchání trestného činu podle § 197a tr. zákona , kdy dosud neustanovení podezřelí vyhrožují na diskuzním fóru internetových stránek fyzickým napadením a smrtí konkrétní osobě. Z provedené zálohy a zjištění přístupových logů bylo zjištěno, že jeden z vyhrožujících se připojil pod IP adresou 158.196.x.x, která by měla být provozována Technickou univerzitou v Ostravě. ...

Provozní řády a pravidla 



Provozní řád bezpečnostního týmu: 

zdroje incidentů,



detekce,



přijímání incidentu,



postup při zpracování,



technické a personální zajištění provozu.

Pravidla pro připojení do sítě: 

práva, povinnosti, sankce.

Provozní řády a pravidla 

Pravidla pro připojení do sítě 







Uživatel musí dodržovat Pravidla užívání počítačové sítě VŠB-TUO (TUO_SME_99_002). Uživatel je povinen neprodleně hlásit porušení stanovených pravidel provozu počítačové sítě jejímu správci. Uživatel má povinnost zaregistrovat informace o své osobě a zařízení. Administrátor je oprávněn dočasně odpojit od sítě počítač, který je zavirován nebo jiným způsobem napaden.

Provozní řády a pravidla 

Příklady činností, které jsou ve zřejmém rozporu se stanovenými pravidly  

 

Komerční využívání Internetu. Provozování serverů, PC s nelegálním SW nebo s obsahem porušujícím autorská práva. Získání neautorizovaného přístupu (hacking). Připojení dalších PC do počítačové sítě bez souhlasu administrátora.



Nepovolená instalace bezdrátového přístup. bodu.



Změna přidělené IP adresy.

Ohlédnutí 

Institucionální podpora: 



Návody, dokumentace, vzor zasílaných zpráv: 





vymahatelnost, schválení postupu řešení BI.

konkrétní postupy, FAQ, pravidelná revize.

Evidence BI: 

zodpovědnost za řešení a zastupitelnost,



archiv vyjádření,



recidiva.

Od konce roku 2008 – 1,791 bezp. incidentů.

Helpdeskový systém