Bezpečnostní tým na VŠB-TUO

Bezpečnostní tým na VŠB-TUO Ing. Radomír Orkáč VŠB-TUO, CIT 9872 14.4.2011, Ostrava radomir.orkac@vsb.cz

O nás Bezpečnostní tým Martin Pustka, Jiří Grygárek, Pavel Jeníček, Radomír Orkáč. Síť VŠB-TUO má název TUONET: 158.196.0.0/16, 2001:0718:1001::/48, 20841 studentů a 2788 zaměstnanců (12.4.2011), přes 12000 registrovaných zařízení, běžně 900-1000 klientů WiFi sítě současně, nejvyšší špička přesáhla 1200 klientů WiFi.

Historie Srpen 2008 Ostrý provoz IDS Snort. Tvorba návodů (odvirování, aktualizace OS, ). Září 2008 Helpdeskový systém (Request Tracker). Definice postupů a formalizace stávajícího stavu. Detekce sdílení dat (porušování autorského z.). 17.12. 2008 provozní řád. 25.11. 2010 sběr netflow dat.

Co řešíme.. Řešení bezpečnostních incidentů: malware (škodlivý kód), porušování zákona a pravidel pro připojení, napadání, skenování, rozesílání nevyžádáné pošty, zneužívání diskuzních fór a návštěvních knih, krádeže IP adres (užití bez registrace), neoprávněný provoz bezdrátových přístup. bodů, phishing.

Postup při řešení Přijetí incidentu. Zdokumentování pracovníkem bezp. týmu. Závažná ohrožení - blokace uživatele, stanice, webu. Kontaktování uživatele / správce. Řešení incidentu provádí uživatel stanice / příslušný správce stanice (např. fakultní, rektorátní). Uživatel / správce, po vyřešení problému, informuje o způsobu a výsledcích pracovníka bezp. týmu.

Postup při řešení Pracovník bezp. týmu dohlíží na řešení problému. Po přijetí informace o vyřešení od oprávněné osoby a po ověření tohoto faktu může incident uzavřít. Při uzavření incidentu vyrozumí pracovník bezp. týmu o tomto faktu uživatele i správce koncové stanice a zajistí publikaci tohoto faktu v informačních systémech.

Informace pro řešení BI Uchováváme záznamy o automatickém přidělování IP adres jednotlivým počítačům. Uchováváme záznamy autentizačního serveru. Bezdrátová síť (WiFi) a vzdálené připojení do naší sítě (VPN). Evidenční / registrační systém Netis. Koleje a Centrum Informačních technologií,. 3Q 2008 všechny nové registrace. Eviduje se IP adresa, MAC adresa, login, čas.

Informace pro řešení BI Hlídáme především: sdílení chráněných dat (hlavně P2P, rapidshare), zneužívání diskuzních fór, krádež IP adres, měření přenesených dat, Externí podněty: CESNET, BayTSP Inc., zástupci Columbia Pictures,... Policie ČR.

Oznámení / denní sestavy IP/DNS: 158.196.48.x / kolcxxx.vsb.cz MAC: 00:23:8b:ab:cd:ef Login: abc001 (alexander abecedny) Tikety v idesku: #109xx (zavirovani (kolcxxx.vsb.cz) - [abc001] resolved bezpecnostni sitove incidenty) Zacatek: 2011-04-13 10:04:40.751914 Konec: 2011-04-13 23:59:54.084523 Netflow: 263 (spojeni) x SMTP_activity mtain-me.r1000.mx.aol.com mtain-mg.r1000.mx.aol.com mtain-mh.r1000.mx.aol.com mtain-ma.r1000.mx.aol.com mtain-mc.r1000.mx.aol.com mtain-md.r1000.mx.aol.com mc.mx.aol.com mtain-mp.r1000.mx.aol.com 64.12.139.193 mtain-mi.r1000.mx.aol.com bay0-mc1-f.bay0.hotmail.com bay0-mc2-f.bay0.hotmail.com bay0-mc3-f.bay0.hotmail.com bay0-mc4-f.bay0.hotmail.com col0-mc1-f.col0.hotmail.com col0-mc2-f.col0.hotmail.com col0-mc3-f.col0.hotmail.com col0-mc4-f.col0.hotmail.com 65.55.92.136 mx3.hotmail.com mx4.hotmail.com mx1.hotmail.com mta-v2.mail.vip.mud.yahoo.com mtav3.mail.vip.mud.yahoo.com mta-v5.mail.vip.mud.yahoo.com mta-v1.mail.vip.ac4.yahoo.com mta-v2.mail.vip.ac4.yahoo.com pv-in-f27.1e100.net mta-v1.mail.vip.sk1.yahoo.com mta-v3.mail.vip.sk1.yahoo.com 36 x IP nevypsana..

Oznámení / denní sestavy 158.196.xxx.xxx pcx333x.vsb.cz MAC: ab:cd:ab:cd:ab:cd Login: abc001 (alexander abecedny) Kalkulace: 129 Pocet: 169 Cil.IP: 1 Cil.nonDNS: 0 Ohodn: 1/1 Kalkul: 169.00 Incident: Downadup/Conficker A or B Worm reporting 158.196.xxx.xxx pcx333x.vsb.cz MAC: ab:cd:ab:cd:ab:cd Login: abc001 (alexander abecedny) Upload: 100 MB torrent: The Frames [9 Albums] + The Swell Season + Once OST torrent: X-Men.Origins.Wolverine-RELOADED dcpp: Pinnacle Studio Ultimate v12 0 0 6163 with Plug-Ins

Policie ČR Žádost o zjištění uživatele IP adresy.... Zdejší součást Policie ČR provádí šetření podezření z možného spáchání trestného činu podle 197a tr. zákona, kdy dosud neustanovení podezřelí vyhrožují na diskuzním fóru internetových stránek fyzickým napadením a smrtí konkrétní osobě. Z provedené zálohy a zjištění přístupových logů bylo zjištěno, že jeden z vyhrožujících se připojil pod IP adresou 158.196.x.x, která by měla být provozována Technickou univerzitou v Ostravě....

Provozní řády a pravidla Provozní řád bezpečnostního týmu: zdroje incidentů, detekce, přijímání incidentu, postup při zpracování, technické a personální zajištění provozu. Pravidla pro připojení do sítě: práva, povinnosti, sankce.

Provozní řády a pravidla Pravidla pro připojení do sítě Uživatel musí dodržovat Pravidla užívání počítačové sítě VŠB-TUO (TUO_SME_99_002). Uživatel je povinen neprodleně hlásit porušení stanovených pravidel provozu počítačové sítě jejímu správci. Uživatel má povinnost zaregistrovat informace o své osobě a zařízení. Administrátor je oprávněn dočasně odpojit od sítě počítač, který je zavirován nebo jiným způsobem napaden.

Provozní řády a pravidla Příklady činností, které jsou ve zřejmém rozporu se stanovenými pravidly Komerční využívání Internetu. Provozování serverů, PC s nelegálním SW nebo s obsahem porušujícím autorská práva. Získání neautorizovaného přístupu (hacking). Připojení dalších PC do počítačové sítě bez souhlasu administrátora. Nepovolená instalace bezdrátového přístup. bodu. Změna přidělené IP adresy.

Ohlédnutí Institucionální podpora: vymahatelnost, schválení postupu řešení BI. Návody, dokumentace, vzor zasílaných zpráv: konkrétní postupy, FAQ, pravidelná revize. Evidence BI: zodpovědnost za řešení a zastupitelnost, archiv vyjádření, recidiva. Od konce roku 2008 1,791 bezp. incidentů.

Helpdeskový systém