Jornadas%20T

1
Jornadas TécnicasRedIRIS 2000

• VII Grupo de Coordinación IRIS-CERT

2
Agenda

• Informe IRIS-CERT
• Procedimientos de actuación ante Incidentes.
  Francisco Monserrat (RedIRIS)
• Detección de ataques e IDS (Intrusion Detection
  Systems). Víctor Barahona (UAM)
• Seguridad en Red. Nociones sobre configuración de
  seguridad en routers CISCO. RedIRIS-NOC
• Linux FW. Vitoriano Grimald (UMA)
• Sugerencias y Preguntas.

3
Informe IRIS-CERT. Agenda

• Resumen operación
• Foros nacionales
• Reunión ISPs españoles
• GTSI-SEC
• Foros internacionales
• FIRST (Forum of Incident Response and Security
  Teams)
• TERENA TF-CSIRT (CSIRT Coordination for Europe)
• GTI-AUP (Grupo de Trabajo sobre elaboración de
  Políticas de Uso de la Red para la comunidad
  IRIS)
• Otras actividades
• Generación de documentación
• PTYOC (Colaboración de RedIRIS en la realización
  de trabajos académicos)
• Auditoría bajo demanda

4
Informe IRIS-CERT. Incidentes (Enero-Octubre
2000)

• Incidentes totales 357 (120 más que en 1999)
• Incidentes que implican a instituciones
  afiliadas 290 (81). Período anterior 93
• Como origen 91 (26)
• Como destino 187 (52)
• Como origen-destino 12 (3)
• Incidentes de ámbito internacional 80 (22)
• Incidentes por prioridad
• Baja 235 (66)
• Normal 70 (20)
• Alta 52 (14)
• Emergencia 0 (0)
• SPAM 67 incidentes. Incidentes totales 2000 424

5
Informe IRIS-CERT. Incidentes por prioridad
6
Informe IRIS-CERT.Incidentes (Enero-Octubre 2000)

• Prioridad baja y normal
• Escaneos de puertos y redes (ftp, portmap/sunrpc,
  en general servicios con vulnerabilidades
  conocidas)
• Escaneos masivos de DNS
• Troyanos (Sub7, netbus, QAZ worm)
• MAIL SPAM
• Prioridad Alta
• DoS y DDoS (smurf, Trinity, trinoo, Tribe Flood
  Network)
• Acceso a root, vulnerabilidades S.O (statd, ftpd,
  imap, telnet (IRIX).. )
• Instalación de sniffers de red

7
Informe IRIS-CERT. Foros nacionales

• Reunión ISPs punto neutro y RedIRIS
• Coordinación de incidentes de seguridad
• Coordinación frente correo-e no deseado (spam)
• News. Presente y futuro de la jerarquía es.
• Coordinación de incidentes de seguridad
• Falta de puntos de contacto fiables
• Conocimiento de la forma de operar de los
  distintos ISPs ante un incidente de seguridad
• Necesidad de una respuesta por parte del
  proveedor ante un incidente de seguridad
• Resultados
• Creación de una lista para intercambio de
  información general sobre temas de seguridad y
  correo-e
• Próxima reunión el año que viene
• Documento de buenas prácticas en cuestiones de
  seguridad y spam
• Jornadas abiertas a proveedores, carriers y la
  red académica
• Publicar en RIPE los contactos de seguridad

8
Informe IRIS-CERT. Foros nacionales(II)

• eEuropa 2002 (Plan de acción)
• Estimular la cooperación entre el sector público
  y el privado sobre la fiabilidad de las
  estructuras de información (incluido el
  desarrollo de sistemas de alerta rápida) y
  mejorando la cooperación entre los equipos
  nacionales de respuesta de incidentes de
  seguridad
• GTSI-SEC. Grupo de Trabajo de Seguridad de la
  Comisión Interministerial para el desarrollo de
  la Sociedad de la Información (Organizado por el
  SETSI y coordinado por el Director General para
  el desarrollo de la Sociedad de la Información)
• Sistema de alerta temprana de virus
• Campañas periódicas de concienciación sobre virus
• Creación de un portal de seguridad para la S.I

9
Informe IRIS-CERT. Foros internacionales (I)

• FIRST (Forum of Incident Response and Security
  Teams)
• 12ª Reunión anual del FIRST (25-30 Junio 2000.
  Chicago). Algunos temas tratados
• Sistemas de Detección de Intrusos (IDS)
• Herramientas de ataque sobre Unix, NT
• Criptografía en Internet
• Gestión de incidentes
• Repercusiones legales
• FIRST-TC (16 Octubre 2000. Alemania). Temas
  tratados
• Cambio política de actuación CERT/CC
  (http//www.cert.org/faq/vuldisclosurepolicy.html)
  
• Proyectos del CERT/CC (búsqueda puntos de
  contacto, XML plug-in para el snort, ACID,
  proyecto AirCERT) http//www.cert.org/kb/
• Herramientas de análisis post-mortem
• Últimas tendencias en ataques de seguridad

10
Informe IRIS-CERT. Foros internacionales (II)

• Coordinación entre CSIRTs en Europa. Historia
• CERT-TF (RARE) (1992-1994)
• EuroCert (1997-1999). Servicio de coordinación
  europeo gestionado por UKERNA y DANTE
• CERT-COORD (TERENA). Septiembre 1999- Mayo 2000
• TF-CSIRT TERENA (Mayo 2000-Mayo 2001)

11
Informe IRIS-CERT. TERENA TF-CSIRT

• Misión fundamental Promover la colaboración
  entre CSIRTs en Europa
• http//www.terena.nl/task-force/tf-csirt/
• Actividades
• Promover un foro para el intercambio de
  experiencias y conocimiento
• Asistir en la formación de nuevos CSIRTs y
  personal
• Proporcionar información actualizada sobre CSIRTs
  existentes, herramientas, incidentes, etc..
• Promover estándares comunes y procedimientos para
  respuesta de incidentes
• Servicios
• Agente de confiabilidad (trusted introducer)
  Red de confianza entre CSIRTs
• http//www.ti.terena.nl/

12
Informe IRIS-CERT. GTI-AUP

• Grupo de trabajo para la elaboración de Políticas
  de Uso de la Red para la comunidad IRIS.
• 1ª fase Elaboración de AUP de RedIRIS
• http//cvu.rediris.es/pub/spanish.cgi/d174027/AUPv
  3
• Incorporación en el acuerdo de afiliación
• 2ª fase Elaboración de plantillas orientativas
  para ayudar a la elaboración de AUPs internas en
  las instituciones afiliadas
• http//www.rediris.es/list/info/gti-aup.es.html

13
Informe IRIS-CERT. Documentación

• Nueva versión de las recomendaciones (0.9)
• Hacia un nuevo enfoque de las Recomendaciones de
  Seguridad
• Modulares (varias partes vs. un solo bloque)
• Específicas (cubriendo SOs, red, etc.)
• Ampliar las áreas de interés con otras nuevas
• Aulas y centros de tiempo compartido
• Topología de red
• Medidas de seguridad proactivas
• IDS
• Jaulas (honeypots)
• Tripwire-Nessus-Satan
• Utilizar la lista de seguridad CERT-ES para
  mejorar y completar un documento de seguridad en
  Unix y Redes escrito por Antonio Villalón (UPV)
• Aportaciones de la comunidad
• http//www.rediris.es/doc/docu_rediris/

14
Informe IRIS-CERT. Otras actividades (I)

• PTYOC (Colaboración de RedIRIS en la realización
  de trabajos académicos).
• Objetivos
• Facilitar el desarrollo de proyectos fin de
  carrera a alumnos de carreras técnicas
• Poder reutilizar estos proyectos para mejorar los
  servicios prestados a la comunidad IRIS
• Proyectos de seguridad ofertados
• Portabilidad del sistema de autenticación PAPI
• Programa de encriptación basado en X509
• Servidor de claves PGPv2
• Soporte criptográfico a listas de distribución
• Detección de ataques en red (Asignado)
• Sistema de voto electrónico (Asignado)
• http//www.rediris.es/app/PTYOC

15
Informe IRIS-CERT. Otras actividades (II)

• Auditoría en línea
• http//www.rediris.es/cert/servicios/auditoria/
• Solicitud por parte del PER mediante correo
  postal certificado
• Obtención de información sobre la red solicitante
  (análisis de equipos conectados y
  vulnerabilidades evidentes)
• Elaboración de un informe privado a la
  institución solicitante
• Realización de auditoría en función de la
  disponibilidad del equipo IRIS-CERT
• Instituciones pequeñas (no clases B)
• Voluntarios?
• Nueva WWW. Sugerencias?