Jornadas Tcnicas Red IRIS 2000 VII Grupo de
- Slides: 15
Jornadas Técnicas Red. IRIS 2000 VII Grupo de Coordinación IRIS-CERT cert@rediris. es
Agenda z Informe IRIS-CERT z Procedimientos de actuación ante Incidentes. Francisco Monserrat (Red. IRIS) z Detección de ataques e IDS (Intrusion Detection Systems). Víctor Barahona (UAM) z Seguridad en Red. Nociones sobre configuración de seguridad en routers CISCO. Red. IRIS-NOC z Linux FW. Vitoriano Grimald (UMA) z Sugerencias y Preguntas. cert@rediris. es JT 2000 – IRIS-CERT - 2
Informe IRIS-CERT. Agenda z Resumen operación z Foros nacionales y Reunión ISPs españoles y GTSI-SEC z Foros internacionales y FIRST (Forum of Incident Response and Security Teams) y TERENA TF-CSIRT (CSIRT Coordination for Europe) z GTI-AUP (Grupo de Trabajo sobre elaboración de Políticas de Uso de la Red para la comunidad IRIS) z Otras actividades y Generación de documentación y PTYOC (Colaboración de Red. IRIS en la realización de trabajos académicos) y Auditoría bajo demanda cert@rediris. es JT 2000 – IRIS-CERT - 3
Informe IRIS-CERT. Incidentes (Enero-Octubre 2000) z Incidentes totales: 357 (120% más que en 1999) z Incidentes que implican a instituciones afiliadas: 290 (81%). Período anterior 93% y Como origen: 91 (26%) y Como destino: 187 (52%) y Como origen-destino: 12 (3%) z Incidentes de ámbito internacional: 80 (22%) z Incidentes por prioridad: y Baja: 235 (66%) y Normal: 70 (20%) y Alta: 52 (14%) y Emergencia: 0 (0%) z SPAM: 67 incidentes. Incidentes totales 2000: 424 cert@rediris. es JT 2000 – IRIS-CERT - 4
Informe IRIS-CERT. Incidentes por prioridad cert@rediris. es JT 2000 – IRIS-CERT - 5
Informe IRIS-CERT. Incidentes (Enero-Octubre 2000) z Prioridad baja y normal Escaneos de puertos y redes (ftp, portmap/sunrpc, en general servicios con vulnerabilidades conocidas) Escaneos masivos de DNS Troyanos (Sub 7, netbus, QAZ worm) MAIL SPAM z Prioridad Alta Do. S y DDo. S (smurf, Trinity, trinoo, Tribe Flood Network) Acceso a root, vulnerabilidades S. O (statd, ftpd, imap, telnet (IRIX). . ) Instalación de sniffers de red cert@rediris. es JT 2000 – IRIS-CERT - 6
Informe IRIS-CERT. Foros nacionales z Reunión ISPs punto neutro y Red. IRIS y Coordinación de incidentes de seguridad y Coordinación frente correo-e no deseado (spam) y News. Presente y futuro de la jerarquía es. * z Coordinación de incidentes de seguridad y Falta de puntos de contacto fiables y Conocimiento de la forma de operar de los distintos ISPs ante un incidente de seguridad y Necesidad de una respuesta por parte del proveedor ante un incidente de seguridad z Resultados y Creación de una lista para intercambio de información general sobre temas de seguridad y correo-e y Próxima reunión el año que viene y Documento de “buenas prácticas” en cuestiones de seguridad y spam y Jornadas abiertas a proveedores, carriers y la red académica y Publicar en RIPE los contactos de seguridad cert@rediris. es JT 2000 – IRIS-CERT - 7
Informe IRIS-CERT. Foros nacionales(II) z e. Europa 2002 (Plan de acción) Estimular la cooperación entre el sector público y el privado sobre la fiabilidad de las estructuras de información (incluido el desarrollo de sistemas de alerta rápida) y mejorando la cooperación entre los equipos nacionales de respuesta de incidentes de seguridad z GTSI-SEC. Grupo de Trabajo de Seguridad de la Comisión Interministerial para el desarrollo de la Sociedad de la Información (Organizado por el SETSI y coordinado por el Director General para el desarrollo de la Sociedad de la Información) y Sistema de alerta temprana de virus y Campañas periódicas de concienciación sobre virus y Creación de un portal de seguridad para la S. I cert@rediris. es JT 2000 – IRIS-CERT - 8
Informe IRIS-CERT. Foros internacionales (I) z FIRST (Forum of Incident Response and Security Teams) y 12ª Reunión anual del FIRST (25 -30 Junio 2000. Chicago). Algunos temas tratados: y. Sistemas de Detección de Intrusos (IDS) y. Herramientas de ataque sobre Unix, NT y. Criptografía en Internet y. Gestión de incidentes y. Repercusiones legales y FIRST-TC (16 Octubre 2000. Alemania). Temas tratados: y. Cambio política de actuación CERT/CC (http: //www. cert. org/faq/vuldisclosurepolicy. html) y. Proyectos del CERT/CC (búsqueda puntos de contacto, XML plug-in para el snort, ACID, proyecto Air. CERT) http: //www. cert. org/kb/ y. Herramientas de análisis post-mortem yÚltimas tendencias en ataques de seguridad cert@rediris. es JT 2000 – IRIS-CERT - 9
Informe IRIS-CERT. Foros internacionales (II) z Coordinación entre CSIRTs en Europa. Historia: y CERT-TF (RARE) (1992 -1994) y Euro. Cert (1997 -1999). Servicio de coordinación europeo gestionado por UKERNA y DANTE y CERT-COORD (TERENA). Septiembre 1999 - Mayo 2000 y TF-CSIRT TERENA (Mayo 2000 -Mayo 2001) cert@rediris. es JT 2000 – IRIS-CERT - 10
Informe IRIS-CERT. TERENA TF-CSIRT z Misión fundamental: Promover la colaboración entre CSIRTs en Europa y http: //www. terena. nl/task-force/tf-csirt/ z Actividades: y Promover un foro para el intercambio de experiencias y conocimiento y Asistir en la formación de nuevos CSIRTs y personal y Proporcionar información actualizada sobre CSIRTs existentes, herramientas, incidentes, etc. . y Promover estándares comunes y procedimientos para respuesta de incidentes z Servicios: y Agente de confiabilidad (“trusted introducer”): Red de confianza entre CSIRTs yhttp: //www. ti. terena. nl/ cert@rediris. es JT 2000 – IRIS-CERT - 11
Informe IRIS-CERT. GTI-AUP z Grupo de trabajo para la elaboración de Políticas de Uso de la Red para la comunidad IRIS. y 1ª fase: Elaboración de AUP de Red. IRIS yhttp: //cvu. rediris. es/pub/spanish. cgi/d 174027/AUPv 3 y. Incorporación en el acuerdo de afiliación y 2ª fase: Elaboración de plantillas orientativas para ayudar a la elaboración de AUPs internas en las instituciones afiliadas http: //www. rediris. es/list/info/gti-aup. es. html cert@rediris. es JT 2000 – IRIS-CERT - 12
Informe IRIS-CERT. Documentación z Nueva versión de las recomendaciones (0. 9) z Hacia un nuevo enfoque de las Recomendaciones de Seguridad: y Modulares (varias partes vs. un solo bloque) y Específicas (cubriendo SO’s, red, etc. ) z Ampliar las áreas de interés con otras nuevas: y Aulas y centros de tiempo compartido y Topología de red y Medidas de seguridad proactivas: y IDS y Jaulas (honeypots) y Tripwire-Nessus-Satan z Utilizar la lista de seguridad CERT-ES para mejorar y completar un documento de seguridad en Unix y Redes escrito por Antonio Villalón (UPV) z Aportaciones de la comunidad: http: //www. rediris. es/docu_rediris/ cert@rediris. es JT 2000 – IRIS-CERT - 13
Informe IRIS-CERT. Otras actividades (I) z PTYOC (Colaboración de Red. IRIS en la realización de trabajos académicos). y Objetivos: y. Facilitar el desarrollo de proyectos fin de carrera a alumnos de carreras técnicas y. Poder reutilizar estos proyectos para mejorar los servicios prestados a la comunidad IRIS y Proyectos de seguridad ofertados: y. Portabilidad del sistema de autenticación PAPI y. Programa de encriptación basado en X 509 y. Servidor de claves PGPv 2 y. Soporte criptográfico a listas de distribución y. Detección de ataques en red (Asignado) y. Sistema de voto electrónico (Asignado) http: //www. rediris. es/app/PTYOC cert@rediris. es JT 2000 – IRIS-CERT - 14
Informe IRIS-CERT. Otras actividades (II) z Auditoría en línea y http: //www. rediris. es/cert/servicios/auditoria/ y Solicitud por parte del PER mediante correo postal certificado y Obtención de información sobre la red solicitante (análisis de equipos conectados y vulnerabilidades evidentes) y Elaboración de un informe privado a la institución solicitante y Realización de auditoría en función de la disponibilidad del equipo IRIS-CERT y Instituciones pequeñas (no clases B) y ¿Voluntarios? z Nueva WWW. ¿Sugerencias? cert@rediris. es JT 2000 – IRIS-CERT - 15