Bezpečnostní tým na VŠB-TUO
Ing. Radomír Orkáč VŠB-TUO, CIT 9872 23.2.2010, Ostrava
[email protected]
O nás
Bezpečnostní tým
Martin Pustka, Jiří Grygárek, Pavel Jeníček, Radomír Orkáč.
Síť VŠB-TUO má název TUONET:
158.196.0.0/16,
2001:0718:1001::/48,
24058 studentů (31.10. 2009),
11574 registrovaných zařízení (k 1. 5. 2009),
běžně 800-900 klientů WiFi sítě ”současně”.
Historie
Srpen 2008
tvorba návodů (odvirování, aktualizace OS, ..)
Září 2008
helpdeskový systém (Request Tracker)
definice postupů a formalizace stávajícího stavu
detekce sdílení dat (porušování autorského z.)
17.12. 2008 - provozní řád
Postup při řešení
Přijetí incidentu Zdokumentování pracovníkem bezp. týmu. Závažné ohrožení -> blokace stanice. Kontaktování uživatele/správce. Řešení incidentu provádí uživatel stanice, popř. příslušný správce stanice. Pracovník BT dohlíží na řešení problému. Po přijetí a ověření informace o vyřešení od oprávněné osoby může incident uzavřít. Při uzavření incidentu vyrozumí pracovník BT o tomto faktu uživatele koncové stanice.
Informace pro řešení BI
Uchováváme záznamy o automatickém přidělování IP adres jednotlivým počítačům. Uchováváme záznamy autentizačního serveru
Bezdrátová síť (WiFi) a vzdálené připojení do naší sítě (VPN)
Evidenční/registrační systém Netis
Koleje a Centrum Informačních technologií.
3Q 2008 všechny nové registrace.
Eviduje se IP adresa, MAC adresa, login, čas.
Informace pro řešení BI Hlídáme především:
sdílení chráněných dat (hlavně P2P, rapidshare),
projevy malware,
zneužívání diskuzních fór,
množství přenesených dat.
Externí podněty
CSIRT.CZ
BayTSP Inc., zástupci Columbia Pictures, a další
Policie ČR
BayTSP Evidentiary Information: Notice ID: 318-3290910 Initial Infringement Timestamp: 6 Jan 2010 00:30:16 GMT Recent Infringement Timestamp: 6 Jan 2010 00:30:16 GMT Infringers IP Address: 158.196.x.x Protocol: BitTorrent Infringed Work: Naruto Shippuden - Episode 136 Infringing File Name: Naruto 136-145 Infringing File Size: 1034050677 Bay ID: 4e4817c176ca388cef78c7f9b5b63cc322699afc| 1034050677 Port ID: 4546 Infringer's DNS Name: xxx.vsb.cz Infringer's User Name:
Policie ČR Žádost o zjištění uživatele IP adresy. ... Zdejší součást Policie ČR provádí šetření podezření z možného spáchání trestného činu podle § 197a tr. zákona , kdy dosud neustanovení podezřelí vyhrožují na diskuzním fóru internetových stránek fyzickým napadením a smrtí konkrétní osobě. Z provedené zálohy a zjištění přístupových logů bylo zjištěno, že jeden z vyhrožujících se připojil pod IP adresou 158.196.x.x, která by měla být provozována Technickou univerzitou v Ostravě. ...
Denní sestavy 158.196.xxx.xxx | pcx333x.vsb.cz MAC: ab:cd:ab:cd:ab:cd Login: abc107 (Andrea Kropacova) Kalkulace: 129 Pocet: 169 Cil.IP: 1 Cil.nonDNS: 0 Ohodn: 1/1 Kalkul: 169.00 Incident: Downadup/Conficker A or B Worm reporting 158.196.xxx.xxx | pcx333x.vsb.cz MAC: ab:cd:ab:cd:ab:cd Login: abc107 (Andrea Kropacova) Upload: 100 MB torrent: The Frames [9 Albums] + The Swell Season + Once OST torrent: X-Men.Origins.Wolverine-RELOADED dcpp: Pinnacle Studio Ultimate v12 0 0 6163 with Plug-Ins
Provozní řády a pravidla
Provozní řád bezpečnostního týmu
zdroje incidentů
detekce
přijímání incidentu
postup při zpracování
technické a personální zajištění provozu
Provozní řády a pravidla Příklady činností, které jsou ve zřejmém rozporu se stanovenými pravidly pro připojení počitače do sítě školy:
Komerční využívání Internetu. Provozování serverů, PC s nelegálním SW nebo s obsahem porušujícím autorská práva. Získání neautorizovaného přístupu (hacking). Připojení dalších PC do počítačové sítě bez souhlasu administrátora.
Nepovolená instalace bezdrátového přístup. bodu.
Změna přidělené IP adresy.
Ohlédnutí
Institucionální podpora
Návody, dokumentace, vzor zasílaných zpráv
schválení postupu řešení BI, můžeme počítat s vymahatelnost
konkrétní postupy, FAQ, pravidelná revize
Evidence bezpečnostních incidentů
zodpovědnost za řešení
zastupitelnost
archiv vyjádření
recidiva
Helpdeskový systém
Helpdeskový systém
začátek semestru + spuštěna detekce sdílení 120
napadání červem Conficker 100
zrušeny upload limity pro detekci sdílení
80
celkem sdílení zavirování napadání skenování www roboti
60
40
20
0 09/2008 10/2008 11/2008 12/2008 01/09
začátek semestru 02/09
03/09
04/09
05/09
06/09
07/09
08/09
09/09
10/09
11/09
12/09