CV-Treff 2013-05-14Begrüssung und Kurzinformationen (00:01)NOC: Wireless LAN an der Uni Basel - Status und Ausblick (00:08)

AllgemeinesInfrastruktur / AufbauVerfügbare SSIDs

SSID: unibas-publicSSID: PWLANSSID: mobile-eapsim(SSID: unibas-event)(SSID: eduroam)

ManagementZukunftLive-Demo und BeispieleFragen für die Zukunft:

CSS: Neuer Service: Zentrales Symantec Endpoint Protection Management (00:35)AusgangslageWas ist SEP-Manager?Vorteile der SEP-Management-UmgebungZahlen und Statistiken (Projektbeginn Februar 2013)Oberfläche SEP-ManagerWas bietet das URZ und wie erhalte ich Zugang zu SEPM

Netzwerk / Sicherheit (00:46)Kurzinfo NetzwerkNeuigkeiten zu Risiken und Malware / Trends der letzten Monate

VerbreitungswegeAuswirkungen

Beispiel: Extremfall NewYork TimesGegenmassnahmenSmartphonesServer

Kurioses und speziellesPhishing

Abschluss (01:23)

Dies ist das Protokoll des CV-Treffs vom 14.05.2013. Weitere Informationen sowie das Video sind zu finden unter:

http://urz.unibas.ch/content.cfm?content=222

Begrüssung und Kurzinformationen (00:01)Michael Brüwer

Begrüssung und Agenda

Vorstellung neuer Mitarbeiter

Nicole Plag (Sekretariat / URZ)Ersatz für Delia Cesana (ab sofort in der Gruppe CSS)Beschäftigungsgrad 60% (Mi - Fr)Ausbildung zur Direktionssekretärin

Cyril Bucher (Team Infrastruktur / URZ)Projektleitung "Migration Voice-Over-IP Telefonie"Elektromonteuer und Telematiker sowie produktspezifische Fortbildungen

Peter Gasser (CSS)Aufgaben: Projekte / Etablierung und Optimierung von Backend-Diensten für ITSC und CVLehre als IT-Systemtechniker und Bachelor in WirtschaftsinformatikZuletzt tätig am URZ Service-Desk

weitere Mitarbeiter - ohne feste AnstellungDario Rubil (Infrastruktur / Elektroinstallationen)Jonas Oberle (Springer / Aufbau ITSC-Petersgraben 2)Dominik Bär (Springer / Aufbau ITSC-Petersgraben 2)

Kurzinformation IT-SteuerungsausschussProf. A Eberle tritt Ende Juli 2013 aus dem IT-StA zurückder Platz wird Vizerektorin Prof. H.J. Kaiser (VR Bildung) übernehmenZudem wird der IT-StA um den Vorsitzenden der SIVIT, Prof. Chr. Tschudin erweitert

Weitere, optionale Termine CV-Treff:Mi, 12.06.2013Di, 10.09.2013Mo, 14.10.2013Mi, 13.11.2013Mi, 11.12.2013

Themenvorschläge CV-Treffdas URZ nimmt gerne Themenvorschläge entgegen von CV entgegen um diese am CV-Treff zu präsentieren

NOC: Wireless LAN an der Uni Basel - Status und Ausblick (00:08)Rüdiger Schreiner

Allgemeines

Verfunkung an der UniBasel:WLAN ist kein Äquivalent zum drahtgebundenen Netzwerk, sprich: keine Büros. Verfunkt werden öffentliche Bereiche,Aufenthaltsräume, Bibliotheken, Hörsäle, Cafeterien, etc.Beschluss 2011: alle Gebäude der Uni Basel konsequent mit Funknetz zu erschliessen (weiterhin: nur öffentlicheBereiche, Aufenthaltsräume, Bibliotheken, Hörsäle, Cafeterien, etc.)Die Liegenschaften der Uni wurden in den letzten zwei Jahren Stück für Stück geprüft, mit Funknetz neu erschlossenoder fehlendes Funknetz ergänztIm März 2013 wurde mit dem Spalenring 145 (IPNA) die letzte Verfunkung abgeschlossen. Neue Gebäude werden vorder Inbetriebnahme voll verfunkt (siehe Spiegelgasse 5)

Infrastruktur / Aufbau

zwei Wireless LAN-Controller betreiben die AccessPoints (Lightweight) an der UniBaseljeder WLAN-Controller kann jeweils die AccessPoints des anderen bei Ausfall übernehmen (Redundanz)

Verfügbare SSIDs

SSID: unibas-public

Mit der SSID unibas-public verbunden, können nur zwei Geräte (-cluster) erreicht werden: ein und die Webserver VPN-GatewaysIst der VPN-Client gestartet und der User authentifiziert, kann er sich, je nach Berechtigungen, mit dem Internetund/oder dem Intranet verbindenVom Webserver kann die VPN-Client-Software heruntergeladen und installiert werden. Ebenso finden sich dort Dokuund AnleitungenGäste anderer Unis in der Schweiz können sich ebenso an der Uni Basel mit der SSID unibas-public verbinden. Dannkönnen sie ihren VPN-Client starten und ihr VPN-Gateway erreichen. Über diesen können sie ins heimische Intranet oderdas Internet verbinden (Switch-Connect)Im Gegenzug können sich User der Uni Basel bei diesen Hochschulen anmelden und mit dem VPN-Client Verbindung zurUni Basel und dem Internet aufnehmen (über unsere VPN-Gateways)

SSID: PWLAN

PWLAN (Public Wireless LAN) ist ein Verbund von Providern und Hochschulen, Fachhochschulen und Organisationen inder SchweizZiel ist es, die Netzabdeckung der eigenen Kunden zu maximieren und für Lehre und Forschung Unterstützung zu bietenAm PWLAN-Projekt nehmen drei Provider teil, TheNet, Swisscom und MonZoon. Verbinden sich ihre Kunden mit derSSID unibas-pwlan und starten einen Browser, landen sie auf unserem Multi-Provider-Portal MPP. Dort können sie ihrenProvider aussuchen und werden zu ihm geroutetJeder Nutzer der Uni Basel kann bei einem der Provider verbinden und mit dem Unibas-VPN-Client direkt frei insInternet oder Intranet der Uni Basel

SSID: mobile-eapsim

Ein spezieller Zugang ist die SSID mobile-eapsim. Die Swisscom bietet hier ihren Kunden einen Internet-Zugang an, derüber die SIM-Karte authentifiziert wird. Im Rahmen des PWLAN-Verbundes bieten wir diesen Zugang für die Swisscoman

(SSID: unibas-event)

Für Kongresse, Tagungen, etc. schaltet das URZ eine SSID unibas-event. Mit speziellen Accounts können die Gäste überden einloggen und bekommen eine stark eingeschränkte Verbindung ins Internet, nichtBluesocket-Access-Gatewayaber ins Intranet

(SSID: eduroam)

Das Projekt Eduroam funktioniert weltweit. Teilnehmende Hochschulen ermöglichen Usern anderer Hochschulen einenkostenlosen Internetzugang. Authentifiziert werden die User durch eine hierarchische Struktur vonRadius-Proxy-ServernEduroam ist an der Uni Basel gerade in der Installation. Eine Übersicht der teilnehmenden Hochschulen findet sich auf: https://www.eduroam.org/Sobald das Projekt bei uns startet, gibt es einen eigenen, detaillierten Bericht darüber.

Management

~600 Sender in über 80 Gebäudenviele Frequenzen, viele "Fremdnetze"darum: Cisco Wireless Control System

automatische Signalstärken-Regelungautomatische Frequenz-Wahl

Beispiel "öffentliche Arbeitsplätze"alle Access-Points im Betrieb, Abdeckung gewährleistetbei Ausfall eines Access-Points verstärken die anderen, verbliebenen AP ihre Signalstärke, so dass dieAbdeckung weiterhin gewährleistet ist

Nutzung des Wireless-LAN an der Uni Basel:zum Teil bis zu 3000 aktive Geräte im Netz

WLAN im Freiender Botanische Garten ist im Rahmen eines gemeinsamen Projekts mit einem Outdoor-WLAN ausgestattet

Zukunft

Austausch der Geräte im Durchschnitt alle 6 Jahreneue Standards, neue Protokolle2012 wurden ~120 APs ausgetauscht2013 werden voraussichtlich weitere 70 ausgetauschtdurch den rotativen Austausch werden fortlaufend neue Standards unterstützt und implementiert

Neue Standards in der Entwicklung: 802.11 ac und adbis zu 7 GBit/s in den Frequenzen 2.4 und 5.1 GHzfür 802.11 ad gilt: neues Frequenzband > 60 GHz

Live-Demo und Beispiele

siehe Video unter ab Minute 18 und Minute 25http://urz.unibas.ch/content.cfm?content=222

Fragen für die Zukunft:

Verfunkungsstrategiereicht die Verfunkung der öffentlich zugänglichen Bereiche?Konkurrenz durch LTE und UMTS

Frage: Drucker unterstützen immer öfter WLAN-Standards - gibt es Überlegungen, diese Verfügbar zu machen?

Antwort: Aufgrund von Sicherheitsbedenken kann das Problematisch sein (u.a.: Firewalls müssten geöffnet werden)

Frage: Vernetzung eines einzelnen Standorts: Können dort weitere APs ausgebaut werden?

Antwort: Öffentlich zugängliche Räume werden vom URZ vernetzt, für weitere Standorte bitte konkret Anfragen.

Allgemeine Antwort: Wenn sich weitere, öffentliche Räume ergeben, bittet das URZ darum, darüber informiert zu werden, sodass dort WLAN installiert werden kann

CSS: Neuer Service: Zentrales Symantec Endpoint ProtectionManagement (00:35)Peter Gasser

Ausgangslage

grösstenteils unmanaged Symantec Antiviren Clients im Einsatzzum Teil dezentrale SEP Manager-Instanzen innerhalb der Universität Baseldadurch: relativ hoher Ressourcen-Bedarf bei geringer Transparenz

Projekt: SEP Manager als Dienstleistung für CV etablieren

Transparenter Überblick über Sicherheitsstand der UmgebungGewartete Dokumentation für CVKlare Strukturen und Ansprechpartner

Was ist SEP-Manager?

Management-Oberfläche für Symantec Endpoint Protection (SEP) ClientsTransparenter Überblick über die eigene UmgebungMeldung bei Malware-Befall sowie Senden von ReportsVerteilung neuster Virendefinition und Aktualisierung von SEP Clients

Somit frühzeitiges Erkennen und Eingreifen möglich, damit einhergehend erhöhte Client-Sicherheit in gemanagtenUmgebungen

Vorteile der SEP-Management-Umgebung

Mehr Transparenz für organisierte EinheitenErhöhte Client-SicherheitKeine zusätzlichen KostenKeine eigener BackEnd-Betrieb notwendigEinbindung des ServiceDesk als “Sicherheitsinstanz”

Allerdings initialer Startaufwand (Client Migration)Migrationspfade für Mac OS X und Windows vorhanden und dokumentiertUnterstützung/Consulting-Angebot des URZ

Zahlen und Statistiken (Projektbeginn Februar 2013)

Einige Zahlen aus den Entwicklungen der letzten Monate

Oberfläche SEP-Manager

Die SEP-Manager-Oberfläche sowie diverse Reports bieten eine Übersicht über den aktuellen Sicherheitsstand der eigenenUmgebung inklusive Aktualität der Viren-Definitionen und Infektionen der eigenen Clients

Was bietet das URZ und wie erhalte ich Zugang zu SEPMZielgruppe sind organisierte CV-Umgebungen und IT-Support-Centren

Organisationsstruktur innerhalb der SEPM-Umgebung auf Basis von Departement oder vergleichbareOrganisationseinheit, keine “Kleinstruktur” (Fachbereich, Seminar etc.)Bitte trotzdem Kontakt aufnehmen

Hilfestellung / Consulting des URZ bei Fragen und Migrationen

Anfrage per Mail oder Telefon an ServiceDesk (71411)Dokumentation verfügbar auf http://urz.unibas.ch/go/sepm

Frage: Clients, die länger ausser Haus sind, verlieren zum Teil den Kontakt zum Manager.

Antwort: Clients, die länger ausser Haus waren, buchen sich automatisch wieder ein, sobald sie wieder im Uni-Netz sind

Frage: lokale Ausnahmen, wie können diese gemanaged werden?

Antwort:

Netzwerk / Sicherheit (00:46)Harald Volz

Kurzinfo Netzwerk

Ersatz alter Switch-Hardware: grosse Standorte fast abgeschlossen, nur noch vereinzelt alte Geräte vorhandenWartungswochenende: in Kürze werden neue Termine bis Ende 2014 bekannt gegeben

bitte bei Kongressplanung berücksichtigenUpdate VPN-Gateway und Clientsoftware geplant

Umfangreiche Tests laufenEs wird vorab ausreichend per Email informiert

Miniswitches:

Erinnerung: Miniswitches gibt es vom URZ – und nur vom URZ Meinungsbild: Druckerzone im Netzwerk

Idee: alle Drucker in einer speziellen Sicherheitszonehinter interner Firewallprivate Netzadressen

Vorteile:Netzdose kann nicht mehr missbraucht werdenbegrenzter Zugang nur aus Intranet

Nachteile:Umadressieren der GeräteAppletalk - würde nicht zwischen Vlans funktionieren (da es schon länger nicht mehr gerouted wird) -besteht dort noch Bedarf?

Fragen und Antworten aus dem Auditorium:

Es existieren zum Teil Messgeräte, welche Apple-Talk einsetzenCanon-Geräte bestellen zum Teil automatisch nach, wie kann das gelöst werden?

Kann über spezielle Gateways realisiert werdenAllgemeine Frage von Harald Volz: Wie gross ist die Schmerzgrenze?

Antworten: recht grossHinweis: Lohnt der Aufwand? Es gibt genug "öffentlich zugängliche Netzwerkdosen"?

Neuigkeiten zu Risiken und Malware / Trends der letzten Monate

Verbreitungswege

klassische Clientsüber WEB: Anzahl verseuchter Webseiten steigt weiterhin kontinuierlichSwitch nimmt CH-Webseiten per DNS vom Netz, wenn diese befallen sind (04/2011: ca. 95, 04/2012: 110,04/2013: 240)vermehrt seriöse Webseiten ( gehacktwww.sparkasse.de,www.pc-welt.de,www.nbc.com)weiterhin: über Werbedienstleister wird infizierte Werbung geschaltet (z.B. auf www.spiegel.dewww.heise.de,etc)

wie finden Angriffe statt:Fertige Exploit-Kits (zwei verbreitete: REDKit und Blackhole exploit kit)

diese testen Browser automatisch auf vorhandene (ungepatchte) Schwachstellen und nutzen diese aus=> Installation SchadsoftwareVermehrt auch plattformübergreifend (z.B. gegen JAVA auf Windows und MacOSX)

Viren per Emailseit Monaten kommen Viren auch wieder verstärkt per Emailtrotz drei Schutzmechanismen des URZ kommen diese Mails an den Anwender, da es sich jeweils umbrandneue Varianten handeltzum Teil gezielte Email-Angriffe auf Unternehmen und Einrichtungen (Zielgruppe UniBasel: Verwaltung,Professoren)meist getarnte Exe-Dateien in .zip-Files

Fazit: Virenscanner versagten zum Teil auf Grund von Aktualität und Vielfalt der Viren.

Darum: Patchen der Clients und gesunden Menschenverstand einsetzen: Stop - Think - Click!

Harald Volz demonstriert einige aktuelle Beispiele - siehe Video unter ab Minutehttp://urz.unibas.ch/content.cfm?content=22260

Auswirkungen

Ransomware: Zahlungsaufforderungen, neuste Variante kopiert verbotene pornographische Inhalte auf den RechnerNachladen von Fernsteuersoftware auf den Rechner (ständig aktualisiert wg. Antivirus-Software)Passwort-/Kreditkartendateninfo-Klau via KeyloggerManipulation Online-BankingWerbeeinblendungen

Bitte eMail an oder wenn Hinweise vorliegen.noc@unibas.ch support-urz@unibas.ch

Beispiel: Extremfall NewYork Times

Chinesische Hacker haben sich über Monate hinweg in das Netzwerk der New York Times gehacktVerschleiert wurde der Netzwerkverkehr über Universitätszugänge und ständigen IP-Wechselim NYT-Netzwerk wurden mindestens drei Backdoors installiert und weitere Computer angegriffenes wurden gezielt Informationen von Mailservern und Computern über Artikel zu Chinesischen Finanz- undGeschäftsinteressen gesammeltinnerhalb dieser Zeit wurden 45 verschiedene Typen von modifizierter Malware installiert. Die von der NY-Timeseingesetzten Virenscanner schlugen nur in einem Fall Alarm

Gegenmassnahmen

VirenscannerWichtig, aber helfen nur begrenzt (>120Mio zum Teil kurzlebige Varianten)

Verkehrsmonitoring (extern und intern)Switch => "Most likely reports"Shadowserver.org => "drone report"Unibas-Firewalls => Loganalyse (gelegentlich, nach verfügbaren Personalressourcen)

auf Client-Seite: PatchenBetriebssysteme

ApplikationenBrowserPlugins

Smartphones

Android als Hauptziel für MalwareFlash-Update im BrowserTrojanische Apps im PlaystoreSMS/Mails fordern Installation von SLS-Zert-APP für mTan

Aktuelle Antivirenprogramme in Tests teilweise wirkungslos und leicht auszutricksen durch kleine Änderungen

Gegenmassnahme: nicht gedankenlos installieren!

iPhone: Viele Lücken im Betriebssystem, jedoch kaum Malware verfügbarAber:

Risiko "mobileconfig profiles":Profil kann sämtliche Netzwerkeinstellungen verändernGefahr: Man-in-the-Middle-Attacke

Risiko: Codesperre austricksenApple patcht nur hinterherBruteforce-Attacken möglich via Jailbreak (<7 Minuten für 4-Ziffern-Code auf iPhone4)

Darum: keinen einfachen Code verwenden => mehr als 4 Ziffern

Server

Webserver-Schwächen: z.B. nginx, php, Coldfusion 9+10Applikationsschwächen: Wordpress-Plugins, cURL, Wiki MoinMoin etc.--> Manipulation von Pages oder--> Webserver-Rootkits (http-Backdoor oder auch sshd-Backdoor (dynamisches Zufügen von Schadcode, keineLog-Einträge))Ziel: Seitenmanipulation für Exploitkits (Drive-by-infection), PW-phishing

Kurioses und spezielles

.edu-Server gehacktZugriff auf Verwaltung kompletter .EDU-Domain~7500 Credentials veröffentlichtAngeblich auch Hack der Webseiten von nagios, wireshark, mono, sqlite nmap

diverse Homerouter-LückenZugang von draussenWPS-Bruteforce (max. 11'000 Versuche) => Verbinden mit dem Wlan in kurzer Zeit möglich => WPSdeaktivieren!

Vaillant-HeizungenWeb-Schnittstelle bei ecopower 1.0 mit Sicherheitslücke

Backdoor in HP-Kaserjet-Modelletelnet auf speziellen Port ohne PQ führt in Debug-Modus

Phishing

mehrmals wöchentlich werden Phising-Emails an gemeldetphishing@unibas.chProblem: User antworten weiterhin zu oft auf diese Mails oder geben Username/Passwort auf schlecht gefälschtenSeiten anBeispiel: webmail.unibas.ch - schlechte Kopie

Weitere Beispiele im Video unter http://urz.unibas.ch/content.cfm?content=222

Zum Teil findet eine Sperrung durch Browser-Hersteller statt, wenn dort gemeldetManche Seiten werden bereits auf der URZ-Firewall geblockt (löst das Problem nur innerhalb des Unibas-Netzwerks)

Username/Passwort ist der einzige Schutz von VPN/Email etc.!

Passworte dürfen nicht weitergegeben werden. Das URZ fragt niemals solche Informationen ab!

HV dankt für Informationen, die an gesendet werden.phishing@unibas.ch

Wir bearbeiten alle Infos, wenn sie unibas-relevant sind (nicht UBS, Paypal) - aber geben keine Rückmeldung (wg. Dublettenetc.).

Fragen: Geschäftsmodell Spamschleudern: Besteht Gefahr, gezielt auf Forschungsinformationen hin Schadsoftware zuentwickeln (a la Stusxnet)?

Antwort: Aufwand ist nur mittelhoch, allerdings

Frage: Gibt es eine neue Version des BootCD-Tools Disinfect?

Antwort: Es wurde eine neue Version veröffentlicht - diese ist kostenpflichtig, URZ kann seine Kopie verleihen - Beschaffungunter Disinfect 2013

Abschluss (01:23)

Michael Brüwer bedankt sich für die Teilnahme und lädt die Anwesenden zu Diskussionen und Apéro im URZ-Foyer.