Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · [email protected] • Jetzt...
29
Erweiterungen im DFN-CERT Portal 51. DFN-Betriebstagung Berlin 6. Oktober 2009 Tilmann Haak <[email protected]>
Transcript of Erweiterungen im DFN-CERT Portal€¦ · 06-10-2009 · [email protected] • Jetzt...
Erweiterungen im DFN-CERT Portal
51. DFN-Betriebstagung Berlin 6. Oktober 2009
Tilmann Haak <[email protected]>
Seite 2
Übersicht
• DFN-CERT Portal allgemein• Erweiterungen bei den Automatischen
Warnmeldungen
• Neuer Dienst im Portal: Informationen über Schwachstellen
Seite 3
DFN-CERT Portal allgemein
Seite 4
DFN-CERT Portal
• Erreichbar unter https://portal.cert.dfn.de/• Freischaltung für „Handlungsberechtigte
Personen“ (HP) anhand von Zertifikaten aus der DFN-PKI Global
• Bisher war nur der Dienst „Automatische Warnmeldungen“ verfügbar
• Jetzt gibt es als neuen Dienst „Informationen über Schwachstellen“
Seite 5
Automatische Warnmeldungen
Seite 6
Automatische Warnmeldungen
• Einrichtungen werden regelmäßig über gemeldete Auffälligkeiten in ihren Netzbereichen informiert
• Einbindung verschiedener Datenquellen• Derzeit ca. 160 teilnehmende Einrichtungen• Das sind ca. 70 Prozent der Adressen
im X-WiN
Seite 7
Seite 8
Beispielmeldung
Liebe Kolleginnen und Kollegen,
dies ist eine automatische Warnmeldung des DFN-CERT. In
den letzten Tagen erhielten wir Informationen über mög-
liche Sicherheitsprobleme auf Systemen in ihrem Netzwerk.
Netzblock: xxx.xxx.0.0/16
Kontakte: [email protected]
Meldungen:
IP Meldungstyp Zuletzt gesehen
---------------------------------------------------------
xxx.xxx.181.16 Bot 2009-09-24 21:22:06
xxx.xxx.117.155 Virus/Wurm 2009-09-24 02:16:00
xxx.xxx.230.149 Spam Beschwerde 2009-09-24 02:27:35
...
Seite 9
Beispielmeldung (2)
Details zu den Meldungen pro IP:
--------------------------------------------------------
System: xxx.xxx.18.16
Meldungstyp: Bot
Zeitstempel: 2009-09-24 21:22:06 GMT+01 (Winterzeit)
Beschreibung: Auf dem System scheint eine Bot-Software
betrieben zu werden, die versucht, einen IRC-basierten
Bot-Netz Control-Server zu erreichen. Wenn es sich dabei
um eine Infektion mit dem Conficker Wurm handelt, ist
dieser als Malwaretyp ausgewiesen. Das System ist auf-
gefallen durch ausgehende HTTP-Anfragen der Form:
http://<zufaellig_erzeugte_URL>/search?q=%d (%d = Zahl)
Seite 10
Erweiterungen im AW-Dienst
• Alle E-Mails haben jetzt einen XML-Anhang (autowarn.xml), den Sie in Ihren eigenen Anwendungen weiterverarbeiten können.
• Die Konfiguration des Dienstes können sie als XML-Datei (awrules.xml) herunterladen.
• Sie können diese Datei auch automatisch generieren, z. B. aus Ihrer lokalen Datenbank, und hochladen.
Seite 11
autowarn.xml
<?xml version="1.0" encoding="utf-8" ?>
<warning incidentid="13337">
<message ip="192.168.42.15" timestamp="2009-10-06 07:15:42" type="Bot">
<logrecord> TCP Quellport Malwaretyp Zeitstempel(GMT+00)
----------------------------------------------
22653 Conficker 2009-10-06 07:15:42
58480 Conficker 2009-10-06 07:22:27
</logrecord>
<description>Auf dem System scheint eine Bot-Software betrieben zu werden, die versucht, einen HTTP- oder IRC-basierten Bot-Netz Control-Server zu erreichen. Zu den unterschiedlichen Malwaretypen finden Sie unter der folgender Webseite mehr Informationen: http://www.cert.dfn.de/index.php?id=bot</description>
</message>
</warning>
Seite 12
Seite 13
awrules.xml<awrules>
<rule active="true" comment="" emptymails="false" frequency="daily">
<netblocks>
<netblock>192.168.42.0/24</netblock>
</netblocks>
<recipients>
<recipient>[email protected]</recipient>
</recipients>
</rule>
<rule active="true" comment="" emptymails="false" frequency="daily">
<netblocks>
<netblock>all</netblock>
</netblocks>
<recipients>
<recipient>[email protected]</recipient>
</recipients>
</rule>
</awrules>
Seite 14
Zusammenfassung (AW)
• XML-Anhang an jeder E-Mail– Gedacht zur automatischen Weiterverarbeitung in
Ihrer Einrichtung
• AW-Regeln als XML herunterladen, bearbeiten und wieder hochladen– Sie können z. B. anhand einer lokal vorhandenen
Datenbank Ihre Konfiguration erstellen
Seite 15
Neu im DFN-CERT Portal:
Information über Schwachstellen
Seite 16
Informationen über Schwachstellen
• Sie kennen bereits unsere Mailingliste:[email protected]
• Jetzt können Sie über das DFN-CERT Portal gezielt abonnieren, z. B. nur Meldungen zu Windows- oder Cisco-Systemen.
• Die bisher versandten Meldungen finden Sie jetzt in unserem Archiv. Zugriff auf das Archiv ist für jedermann möglich.
• Mit einem Zertifikat der DFN-PKI Global können Sie ein Abonnement (z. B. nur RedHat Linux) konfigurieren.
Seite 17
Seite 18
Seite 19
Beispielmeldung (Kurzformat)Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:Paket php
Betroffene Plattformen:Mandriva Linux 2009.1Mandriva Linux 2009.1/X86_64
PHP vor der Version 5.2.11 enthält mehrere Schwachstellenin den Funktionen ’dba_replace()’, [...] und bei der Verarbeitung von EXIF-Daten, welche es im schlimmsten Fall ermöglichen Dateien im Dateisystem zu überschreiben.
Weitere Informationen finden sie unter:<https://portal.cert.dfn.de/adv/DFN-CERT-2009-1376>
...
Seite 20
Seite 21
Seite 22
Seite 23
Seite 24
Seite 25
Seite 26
Seite 27
Seite 28
Zusammenfassung
• Zusätzlich zur bereits bekannten [email protected]
• Sie haben Zugriff auf das Archiv• Mit einem Zertifikat der DFN-PKI Global
können Sie ein Abonnement (z. B. nur RedHat Linux) konfigurieren
• Kurz- und Langformat
Seite 29
Kontakt
• Wenn Sie an den DFN-CERT Diensten teilnehmen wollen, sprechen Sie uns bitte an.
➼ Web: http://www.cert.dfn.de
➼ Portal: https://portal.cert.dfn.de
➼ Fragen zu den DFN-CERT-Diensten:
