Bezpečnostní tým na VŠB-TUO

Bezpečnostní tým na VŠB-TUO

Ing. Radomír Orkáč VŠB-TUO, CIT 9872 23.2.2010, Ostrava [email protected]

O nás 

Bezpečnostní tým 



Martin Pustka, Jiří Grygárek, Pavel Jeníček, Radomír Orkáč.

Síť VŠB-TUO má název TUONET: 

158.196.0.0/16,



2001:0718:1001::/48,



24058 studentů (31.10. 2009),



11574 registrovaných zařízení (k 1. 5. 2009),



běžně 800-900 klientů WiFi sítě ”současně”.

Historie 

Srpen 2008 





tvorba návodů (odvirování, aktualizace OS, ..)

Září 2008 

helpdeskový systém (Request Tracker)



definice postupů a formalizace stávajícího stavu



detekce sdílení dat (porušování autorského z.)

17.12. 2008 - provozní řád

Postup při řešení     





Přijetí incidentu Zdokumentování pracovníkem bezp. týmu. Závažné ohrožení -> blokace stanice. Kontaktování uživatele/správce. Řešení incidentu provádí uživatel stanice, popř. příslušný správce stanice. Pracovník BT dohlíží na řešení problému. Po přijetí a ověření informace o vyřešení od oprávněné osoby může incident uzavřít. Při uzavření incidentu vyrozumí pracovník BT o tomto faktu uživatele koncové stanice.

Informace pro řešení BI 



Uchováváme záznamy o automatickém přidělování IP adres jednotlivým počítačům. Uchováváme záznamy autentizačního serveru 



Bezdrátová síť (WiFi) a vzdálené připojení do naší sítě (VPN)

Evidenční/registrační systém Netis 

Koleje a Centrum Informačních technologií.



3Q 2008 všechny nové registrace.



Eviduje se IP adresa, MAC adresa, login, čas.

Informace pro řešení BI Hlídáme především: 

sdílení chráněných dat (hlavně P2P, rapidshare),



projevy malware,



zneužívání diskuzních fór,



množství přenesených dat.

Externí podněty 

CSIRT.CZ



BayTSP Inc., zástupci Columbia Pictures, a další



Policie ČR

BayTSP Evidentiary Information: Notice ID: 318-3290910 Initial Infringement Timestamp: 6 Jan 2010 00:30:16 GMT Recent Infringement Timestamp: 6 Jan 2010 00:30:16 GMT Infringers IP Address: 158.196.x.x Protocol: BitTorrent Infringed Work: Naruto Shippuden - Episode 136 Infringing File Name: Naruto 136-145 Infringing File Size: 1034050677 Bay ID: 4e4817c176ca388cef78c7f9b5b63cc322699afc| 1034050677 Port ID: 4546 Infringer's DNS Name: xxx.vsb.cz Infringer's User Name:

Policie ČR Žádost o zjištění uživatele IP adresy. ... Zdejší součást Policie ČR provádí šetření podezření z možného spáchání trestného činu podle § 197a tr. zákona , kdy dosud neustanovení podezřelí vyhrožují na diskuzním fóru internetových stránek fyzickým napadením a smrtí konkrétní osobě. Z provedené zálohy a zjištění přístupových logů bylo zjištěno, že jeden z vyhrožujících se připojil pod IP adresou 158.196.x.x, která by měla být provozována Technickou univerzitou v Ostravě. ...

Denní sestavy 158.196.xxx.xxx | pcx333x.vsb.cz MAC: ab:cd:ab:cd:ab:cd Login: abc107 (Andrea Kropacova) Kalkulace: 129 Pocet: 169 Cil.IP: 1 Cil.nonDNS: 0 Ohodn: 1/1 Kalkul: 169.00 Incident: Downadup/Conficker A or B Worm reporting 158.196.xxx.xxx | pcx333x.vsb.cz MAC: ab:cd:ab:cd:ab:cd Login: abc107 (Andrea Kropacova) Upload: 100 MB torrent: The Frames [9 Albums] + The Swell Season + Once OST torrent: X-Men.Origins.Wolverine-RELOADED dcpp: Pinnacle Studio Ultimate v12 0 0 6163 with Plug-Ins

Provozní řády a pravidla 

Provozní řád bezpečnostního týmu 

zdroje incidentů



detekce



přijímání incidentu



postup při zpracování



technické a personální zajištění provozu

Provozní řády a pravidla Příklady činností, které jsou ve zřejmém rozporu se stanovenými pravidly pro připojení počitače do sítě školy:  

 

Komerční využívání Internetu. Provozování serverů, PC s nelegálním SW nebo s obsahem porušujícím autorská práva. Získání neautorizovaného přístupu (hacking). Připojení dalších PC do počítačové sítě bez souhlasu administrátora.



Nepovolená instalace bezdrátového přístup. bodu.



Změna přidělené IP adresy.

Ohlédnutí 

Institucionální podpora 



Návody, dokumentace, vzor zasílaných zpráv 



schválení postupu řešení BI, můžeme počítat s vymahatelnost

konkrétní postupy, FAQ, pravidelná revize

Evidence bezpečnostních incidentů 

zodpovědnost za řešení



zastupitelnost



archiv vyjádření



recidiva

Helpdeskový systém

Helpdeskový systém

začátek semestru + spuštěna detekce sdílení 120

napadání červem Conficker 100

zrušeny upload limity pro detekci sdílení

80

celkem sdílení zavirování napadání skenování www roboti

60

40

20

0 09/2008 10/2008 11/2008 12/2008 01/09

začátek semestru 02/09

03/09

04/09

05/09

06/09

07/09

08/09

09/09

10/09

11/09

12/09