Überwachung

Überwachung der Netflow-Daten

Die zentrale Überwachung des Netzwerks wird in erster Linie zur Beurteilung von Reklamationen und zur Erkennung von Schadprogrammen und Missbrauch durch Dritte betrieben.

Ausserdem werden damit Pflichten der Universität als Betreiberin eines Firmennetzes im Zusammenhang mit dem Überwachungsgesetz für Fernmeldeanlagen so gut wie möglich erfüllt. Die IT-Security-Stelle (ITS) kann auch auf Missbräuche durch Studenten und Mitarbeiter stossen, welche im Sinne der Richtlinien für den Einsatz von Informatikmitteln zu behandeln sind.

Konkret werden am Netzwerk-Eingang die anfallenden Netflow-Daten mit den Programmen Argus und Nfsen  gesammelt.

Intrusion Detection System (IDS)

Das IDS soll vor allem die problemspezifischen Detektoren unterstützen. Ein Computer mit dem Intrusion Detection System Snort ist direkt hinter der Transistor-Firewall platziert. Wichtig ist wegen der Knappheit der personellen Ressourcen das Vermeiden einer Überflutung mit unwichtigen Verdachtsfällen. Mit wenigen selbst evaluierten Regeln aus dem Satz von Emerging Threats werden Ereignisse an die Ereignisbehandlung intern weitergemeldet. Die parallel dazu laufende Auswertung eines grösseren Regelsatzes dient der laufenden Evaluation dieser Regeln durch die ITS.

Problemspezifische Detektoren

Mit dem No-Honey-Pot werden die scannenden Netzwerk-Viren erfasst.

Zwei Sensoren verzeichnen ssh-Passwort-Attacken und melden die Angreifer ans nationale Computer Emergency Response Team (CERT).

Die Möglichkeiten für einen zusätzlichen Botnet-Sensor, der den Chat-Verkehr mit den Bot-Masters direkt erfasst, werden studiert.

Aktives Abscannen des Netzwerks

Versuche mit einer Überprüfung der im Netzwerk installierten Computer durch systematisches Abscannen des ganzen Netzwerks wurden in letzter Zeit nicht mehr durchgeführt, da die Auswertung der Ergebisse nie befriedigend war. Die IT-Security-Stelle (ITS) behält sich aber das Recht vor, solche Aktivitäten wieder aufzunehmen, wenn eine konkrete Aussicht auf erfolgreiche Erkennung wichtiger Mängel besteht.

Die IT-Verantwortlichen dürfen den zugeteilten Netzwerk-Bereich abscannen.

Sicherheitsprüfung durch Scannen

Angebot: Nach Vereinbarung mit IT-Verantwortlichen führt die ITS einen Scan mit dem Programm OpenVAS (betr. Systeminterface IP) oder Arachni (betreffend Webaufritte) durch und übergibt die Resultate dem Verantwortlichen. Die Reports dieser Programme enthalten die Entdeckung oder begründete Vermutung von Verwundbarkeiten.

Im Rahmen von Ereignissen, welche eine bestmmte IP-Nummer betreffen, kann die ITS diese Adresse ungefragt scannen.