Jornadas Tcnicas Red IRIS 2002 Salamanca Noviembre 2002
Jornadas Técnicas Red. IRIS 2002 Salamanca, Noviembre 2002 XI Grupo de coordinación IRIS-CERT cert@rediris. es Informe de Operación
Agenda o Informe de incidentes o Foros nacionales ü ISPES o Foros internacionales ü FIRST (Forum of Incidents Response and Security Teams) Teams ü TERENA TF-CSIRT o Otras actividades ü Proyecto e. CSIRT. net ü Objeto IRT en RIPE ü Grupo de interés sobre Firewalls cert@rediris. es JT 2002 – Informe de operación - 2
Informe de incidentes (Enero – Octubre 2002) o Incidentes totales: 1176 (48. 67% más que en 2001) o Incidentes que implican a instituciones afiliadas: 1075 (91%). Período anterior (90%) ü Como origen: 682 (58%) ü Como destino: 358 (30%) ü Como origen-destino: 35 (3%) o Incidentes ámbito internacional: 1080 (91%) ü Como origen: 327 (27%) ü Como destino: 753 (64%) o SPAM: 20 (hasta Junio) o Relacionados con infracción de Copyright: 50 cert@rediris. es JT 2002 – Informe de operación - 3
Informe de incidentes (Enero – Octubre 2002) cert@rediris. es JT 2002 – Informe de operación - 4
Informe de incidentes (Enero – Octubre 2002) cert@rediris. es JT 2002 – Informe de operación - 5
Informe de incidentes (Enero – Octubre 2002) cert@rediris. es JT 2002 – Informe de operación - 6
Informe de incidentes (Enero – Octubre 2002) cert@rediris. es JT 2002 – Informe de operación - 7
Informe de incidentes (Enero – Octubre 2002) Tipo de incidentes Nº Incidentes % Do. S 20 1% Otros 23 1% Portscan 511 43% Accesos a cuentas privilegiadas 86 7% Troyanos 2 0% Worm 515 43% Uso no autorizado 19 1% cert@rediris. es JT 2002 – Informe de operación - 8
Informe de incidentes (Enero – Octubre 2002) o Puertos más escaneados ü Puertos debidos a gusanos (80/tcp, 8080/tcp, 137/udp, 135/udp, 139/udp, 1433/tcp) • • • Code Red http: //www. cert. org/advisories/CA-2001 -23. html Nimda http: //www. cert. org/advisories/CA-2001 -26. html Spida http: //www. iss. net/security_center/static/9124. php Slapper http: //www. f-secure. com/slapper/ Bugbear http: //www. f-secure. com/bugbear/ Opaserv http: //www. symantec. com/avcenter/venc/data/ w 32. opaserv. e. worm. htm ü Servidores de propósito general en máquinas Unix • SSH (22/tcp) § § • FTP (21/tcp) § § • http: //www. cert. org/advisories/CA-2002 -26. html http: //www. cert. org/advisories/CA-2002 -20. html LPR (515/tcp) § cert@rediris. es http: //www. cert. org/advisories/CA-2001 -33. html http: //www. cert. org/advisories/CA-2001 -07. html RPC (dtspcd, cmsd, tddserver) § § • http: //www. cert. org/incident_notes/IN-2001 -12. html http: //www. cert. org/advisories/CA-2002 -18. html http: //www. cert. org/advisories/CA-2001 -30. html JT 2002 – Informe de operación - 9
Foros nacionales ISPES (Coordinación de ISP en España) o Última reunión 21 Mayo 2002 o Cambio de modelo actual de ISPES ü Integración en ESPANIX • Creación de subcomités técnicos (actividades definidas como Non-Core) § Correo electrónico § Seguridad § IPv 6 ü Manteniendo de los objetivos originales o Próxima reunión plenaria de ESPANIX Presentación documento para la formalización de la nueva estructura cert@rediris. es JT 2002 – Informe de operación - 10
Foros internacionales FIRST (http: //www. first. org) o Junio 2002 FIRST XIV Conference (Hawaii, EEUU) ü Análisis forense ü Seguridad en la red (herramientas de análisis de protocolos, flujos de red, configuraciones routers, . . ) ü IDSs o Octubre 2001 FIRST TC (Chicago, EEUU) o Próximos eventos ü XV Reunión Anual del FIRST (Ontario, Canadá, 2227 Junio 2003) • Call for papers http: //www. first. org/conference/2003/cfp. html cert@rediris. es JT 2002 – Informe de operación - 11
Foros internacionales TERENA, TF-CSIRT (http: //www. terena. nl/tech/task-forces/tf-csirt/) o Renovación del Task Force (Mayo 2002 -Mayo 2004) ü http: //www. terena. nl/tech/task-forces/tf-csirt/TSec(02)017 rev 1 -To. RTF-CSIRT. pdf o Actividades finalizadas ü IODEF WG IETF WG (INCH) o Actividades en desarrollo ü GT sobre descripción de procedimientos y requerimientos funcionales comunes para las herramientas de gestión de incidentes ü GT para la asistencia al establecimiento de nuevos CERTs ü IODEF-Pilot (TERENA Pilot Project Proposal on Pilot implementation of the IODEF based Incident Handling) http: //www. surfnetters. nl/meijer/tf-csirt/iodef/pilot. html ü TRANSITS (Training of Network Security Incident Teams Staff) http: //www. ist-transits. org/ ü CHIHT (Clearinghouse of Incident Handling Tools) http: //chiht. dfn-cert. de/ o TI (Trusted Introducer) como servicio permanente (http: //www. ti. terena. nl/) cert@rediris. es JT 2002 – Informe de operación - 12
Otras actividades e. CSIRT. net o Formatos y herramientas para facilitar el intercambio de información entre CERTs o Participantes: CERT-Polska, DFN-CERT, DKCERT, GARRNET-CERT, IRIS-CERT, JANETCERT, Le CERT Renater, M&I/Stelvio, PRESECURE o Financiado por la CE (V Programa Marco) o Documentación pública ü Estudio de la semántica del IODEF ü Integración IODEF en diferentes entornos de trabajo ü Análisis de requerimientos internos para compartir incidentes entre CERTs ü Lista de herramientas y aspectos técnicos necesarios para la implementación del IODEF cert@rediris. es JT 2002 – Informe de operación - 13
Otras actividades Objeto IRT en RIPE o http: //www. ripe. net/ripe/docs/irt-object. html o Objetivos: ü Facilitar la localización de punto de contacto de seguridad (IRT) en RIPE ü Proporcionar información adicional (claves PGP, tlf, . . ) o Asociado al objeto inetnum o inet 6 num atributo "mnt-irt: “ o Nueva funcionalidad de búsqueda whois –c <IP> o Trusted Introducer se encargará de la creación y mantenimiento de este objeto para TI L 2 Teams cert@rediris. es JT 2002 – Informe de operación - 14
Otras actividades Objeto IRT en RIPE o Object Template irt: [mandatory] [single] [primary/lookup key] remarks: [optional] [multiple] [ ] address: [mandatory] [multiple] [ ] phone: [optional] [multiple] [ ] fax-no: [optional] [multiple] [ ] e-mail: [mandatory] [multiple] [lookup key] signature: [mandatory] [multiple] [ ] encryption: [mandatory] [multiple] [ ] admin-c: [mandatory] [multiple] [inverse key] tech-c: [mandatory] [multiple] [inverse key] auth: [mandatory] [multiple] [ ] irt-nfy: [optional] [multiple] [inverse key] notify: [optional] [multiple] [inverse key] mnt-by: [mandatory] [multiple] [inverse key] changed: [mandatory] [multiple] [ ] source: [mandatory] [single] [ ] cert@rediris. es JT 2002 – Informe de operación - 15
Otras actividades Grupo de Interés sobre Firewalls o Organización de una Workshop con técnicos de software comercial y no comercial (Febrero/Marzo) o Coordinador externo al Centro de Comunicaciones Red. IRIS: ü Criterios de evaluación ü Necesidades de un firewall ü Experiencias de uso de firewalls y soluciones integrales o Resultados WWW o coordinación de presentaciones en próximos GT y JJTT cert@rediris. es JT 2002 – Informe de operación - 16
- Slides: 16