cv-treff 2013-05-14 - urz.unibas.ch · verfügbare ssids ssid: unibas-public mit der ssid...
TRANSCRIPT
CV-Treff 2013-05-14Begrüssung und Kurzinformationen (00:01)NOC: Wireless LAN an der Uni Basel - Status und Ausblick (00:08)
AllgemeinesInfrastruktur / AufbauVerfügbare SSIDs
SSID: unibas-publicSSID: PWLANSSID: mobile-eapsim(SSID: unibas-event)(SSID: eduroam)
ManagementZukunftLive-Demo und BeispieleFragen für die Zukunft:
CSS: Neuer Service: Zentrales Symantec Endpoint Protection Management (00:35)AusgangslageWas ist SEP-Manager?Vorteile der SEP-Management-UmgebungZahlen und Statistiken (Projektbeginn Februar 2013)Oberfläche SEP-ManagerWas bietet das URZ und wie erhalte ich Zugang zu SEPM
Netzwerk / Sicherheit (00:46)Kurzinfo NetzwerkNeuigkeiten zu Risiken und Malware / Trends der letzten Monate
VerbreitungswegeAuswirkungen
Beispiel: Extremfall NewYork TimesGegenmassnahmenSmartphonesServer
Kurioses und speziellesPhishing
Abschluss (01:23)
Dies ist das Protokoll des CV-Treffs vom 14.05.2013. Weitere Informationen sowie das Video sind zu finden unter:
http://urz.unibas.ch/content.cfm?content=222
Begrüssung und Kurzinformationen (00:01)Michael Brüwer
Begrüssung und Agenda
Vorstellung neuer Mitarbeiter
Nicole Plag (Sekretariat / URZ)Ersatz für Delia Cesana (ab sofort in der Gruppe CSS)Beschäftigungsgrad 60% (Mi - Fr)Ausbildung zur Direktionssekretärin
Cyril Bucher (Team Infrastruktur / URZ)Projektleitung "Migration Voice-Over-IP Telefonie"Elektromonteuer und Telematiker sowie produktspezifische Fortbildungen
Peter Gasser (CSS)Aufgaben: Projekte / Etablierung und Optimierung von Backend-Diensten für ITSC und CVLehre als IT-Systemtechniker und Bachelor in WirtschaftsinformatikZuletzt tätig am URZ Service-Desk
weitere Mitarbeiter - ohne feste AnstellungDario Rubil (Infrastruktur / Elektroinstallationen)Jonas Oberle (Springer / Aufbau ITSC-Petersgraben 2)Dominik Bär (Springer / Aufbau ITSC-Petersgraben 2)
Kurzinformation IT-SteuerungsausschussProf. A Eberle tritt Ende Juli 2013 aus dem IT-StA zurückder Platz wird Vizerektorin Prof. H.J. Kaiser (VR Bildung) übernehmenZudem wird der IT-StA um den Vorsitzenden der SIVIT, Prof. Chr. Tschudin erweitert
Weitere, optionale Termine CV-Treff:Mi, 12.06.2013Di, 10.09.2013Mo, 14.10.2013Mi, 13.11.2013Mi, 11.12.2013
Themenvorschläge CV-Treffdas URZ nimmt gerne Themenvorschläge entgegen von CV entgegen um diese am CV-Treff zu präsentieren
NOC: Wireless LAN an der Uni Basel - Status und Ausblick (00:08)Rüdiger Schreiner
Allgemeines
Verfunkung an der UniBasel:WLAN ist kein Äquivalent zum drahtgebundenen Netzwerk, sprich: keine Büros. Verfunkt werden öffentliche Bereiche,Aufenthaltsräume, Bibliotheken, Hörsäle, Cafeterien, etc.Beschluss 2011: alle Gebäude der Uni Basel konsequent mit Funknetz zu erschliessen (weiterhin: nur öffentlicheBereiche, Aufenthaltsräume, Bibliotheken, Hörsäle, Cafeterien, etc.)Die Liegenschaften der Uni wurden in den letzten zwei Jahren Stück für Stück geprüft, mit Funknetz neu erschlossenoder fehlendes Funknetz ergänztIm März 2013 wurde mit dem Spalenring 145 (IPNA) die letzte Verfunkung abgeschlossen. Neue Gebäude werden vorder Inbetriebnahme voll verfunkt (siehe Spiegelgasse 5)
Infrastruktur / Aufbau
zwei Wireless LAN-Controller betreiben die AccessPoints (Lightweight) an der UniBaseljeder WLAN-Controller kann jeweils die AccessPoints des anderen bei Ausfall übernehmen (Redundanz)
Verfügbare SSIDs
SSID: unibas-public
Mit der SSID unibas-public verbunden, können nur zwei Geräte (-cluster) erreicht werden: ein und die Webserver VPN-GatewaysIst der VPN-Client gestartet und der User authentifiziert, kann er sich, je nach Berechtigungen, mit dem Internetund/oder dem Intranet verbindenVom Webserver kann die VPN-Client-Software heruntergeladen und installiert werden. Ebenso finden sich dort Dokuund AnleitungenGäste anderer Unis in der Schweiz können sich ebenso an der Uni Basel mit der SSID unibas-public verbinden. Dannkönnen sie ihren VPN-Client starten und ihr VPN-Gateway erreichen. Über diesen können sie ins heimische Intranet oderdas Internet verbinden (Switch-Connect)Im Gegenzug können sich User der Uni Basel bei diesen Hochschulen anmelden und mit dem VPN-Client Verbindung zurUni Basel und dem Internet aufnehmen (über unsere VPN-Gateways)
SSID: PWLAN
PWLAN (Public Wireless LAN) ist ein Verbund von Providern und Hochschulen, Fachhochschulen und Organisationen inder SchweizZiel ist es, die Netzabdeckung der eigenen Kunden zu maximieren und für Lehre und Forschung Unterstützung zu bietenAm PWLAN-Projekt nehmen drei Provider teil, TheNet, Swisscom und MonZoon. Verbinden sich ihre Kunden mit derSSID unibas-pwlan und starten einen Browser, landen sie auf unserem Multi-Provider-Portal MPP. Dort können sie ihrenProvider aussuchen und werden zu ihm geroutetJeder Nutzer der Uni Basel kann bei einem der Provider verbinden und mit dem Unibas-VPN-Client direkt frei insInternet oder Intranet der Uni Basel
SSID: mobile-eapsim
Ein spezieller Zugang ist die SSID mobile-eapsim. Die Swisscom bietet hier ihren Kunden einen Internet-Zugang an, derüber die SIM-Karte authentifiziert wird. Im Rahmen des PWLAN-Verbundes bieten wir diesen Zugang für die Swisscoman
(SSID: unibas-event)
Für Kongresse, Tagungen, etc. schaltet das URZ eine SSID unibas-event. Mit speziellen Accounts können die Gäste überden einloggen und bekommen eine stark eingeschränkte Verbindung ins Internet, nichtBluesocket-Access-Gatewayaber ins Intranet
(SSID: eduroam)
Das Projekt Eduroam funktioniert weltweit. Teilnehmende Hochschulen ermöglichen Usern anderer Hochschulen einenkostenlosen Internetzugang. Authentifiziert werden die User durch eine hierarchische Struktur vonRadius-Proxy-ServernEduroam ist an der Uni Basel gerade in der Installation. Eine Übersicht der teilnehmenden Hochschulen findet sich auf: https://www.eduroam.org/Sobald das Projekt bei uns startet, gibt es einen eigenen, detaillierten Bericht darüber.
Management
~600 Sender in über 80 Gebäudenviele Frequenzen, viele "Fremdnetze"darum: Cisco Wireless Control System
automatische Signalstärken-Regelungautomatische Frequenz-Wahl
Beispiel "öffentliche Arbeitsplätze"alle Access-Points im Betrieb, Abdeckung gewährleistetbei Ausfall eines Access-Points verstärken die anderen, verbliebenen AP ihre Signalstärke, so dass dieAbdeckung weiterhin gewährleistet ist
Nutzung des Wireless-LAN an der Uni Basel:zum Teil bis zu 3000 aktive Geräte im Netz
WLAN im Freiender Botanische Garten ist im Rahmen eines gemeinsamen Projekts mit einem Outdoor-WLAN ausgestattet
Zukunft
Austausch der Geräte im Durchschnitt alle 6 Jahreneue Standards, neue Protokolle2012 wurden ~120 APs ausgetauscht2013 werden voraussichtlich weitere 70 ausgetauschtdurch den rotativen Austausch werden fortlaufend neue Standards unterstützt und implementiert
Neue Standards in der Entwicklung: 802.11 ac und adbis zu 7 GBit/s in den Frequenzen 2.4 und 5.1 GHzfür 802.11 ad gilt: neues Frequenzband > 60 GHz
Live-Demo und Beispiele
siehe Video unter ab Minute 18 und Minute 25http://urz.unibas.ch/content.cfm?content=222
Fragen für die Zukunft:
Verfunkungsstrategiereicht die Verfunkung der öffentlich zugänglichen Bereiche?Konkurrenz durch LTE und UMTS
Frage: Drucker unterstützen immer öfter WLAN-Standards - gibt es Überlegungen, diese Verfügbar zu machen?
Antwort: Aufgrund von Sicherheitsbedenken kann das Problematisch sein (u.a.: Firewalls müssten geöffnet werden)
Frage: Vernetzung eines einzelnen Standorts: Können dort weitere APs ausgebaut werden?
Antwort: Öffentlich zugängliche Räume werden vom URZ vernetzt, für weitere Standorte bitte konkret Anfragen.
Allgemeine Antwort: Wenn sich weitere, öffentliche Räume ergeben, bittet das URZ darum, darüber informiert zu werden, sodass dort WLAN installiert werden kann
CSS: Neuer Service: Zentrales Symantec Endpoint ProtectionManagement (00:35)Peter Gasser
Ausgangslage
grösstenteils unmanaged Symantec Antiviren Clients im Einsatzzum Teil dezentrale SEP Manager-Instanzen innerhalb der Universität Baseldadurch: relativ hoher Ressourcen-Bedarf bei geringer Transparenz
Projekt: SEP Manager als Dienstleistung für CV etablieren
Transparenter Überblick über Sicherheitsstand der UmgebungGewartete Dokumentation für CVKlare Strukturen und Ansprechpartner
Was ist SEP-Manager?
Management-Oberfläche für Symantec Endpoint Protection (SEP) ClientsTransparenter Überblick über die eigene UmgebungMeldung bei Malware-Befall sowie Senden von ReportsVerteilung neuster Virendefinition und Aktualisierung von SEP Clients
Somit frühzeitiges Erkennen und Eingreifen möglich, damit einhergehend erhöhte Client-Sicherheit in gemanagtenUmgebungen
Vorteile der SEP-Management-Umgebung
Mehr Transparenz für organisierte EinheitenErhöhte Client-SicherheitKeine zusätzlichen KostenKeine eigener BackEnd-Betrieb notwendigEinbindung des ServiceDesk als “Sicherheitsinstanz”
Allerdings initialer Startaufwand (Client Migration)Migrationspfade für Mac OS X und Windows vorhanden und dokumentiertUnterstützung/Consulting-Angebot des URZ
Zahlen und Statistiken (Projektbeginn Februar 2013)
Einige Zahlen aus den Entwicklungen der letzten Monate
Oberfläche SEP-Manager
Die SEP-Manager-Oberfläche sowie diverse Reports bieten eine Übersicht über den aktuellen Sicherheitsstand der eigenenUmgebung inklusive Aktualität der Viren-Definitionen und Infektionen der eigenen Clients
Was bietet das URZ und wie erhalte ich Zugang zu SEPMZielgruppe sind organisierte CV-Umgebungen und IT-Support-Centren
Organisationsstruktur innerhalb der SEPM-Umgebung auf Basis von Departement oder vergleichbareOrganisationseinheit, keine “Kleinstruktur” (Fachbereich, Seminar etc.)Bitte trotzdem Kontakt aufnehmen
Hilfestellung / Consulting des URZ bei Fragen und Migrationen
Anfrage per Mail oder Telefon an ServiceDesk (71411)Dokumentation verfügbar auf http://urz.unibas.ch/go/sepm
Frage: Clients, die länger ausser Haus sind, verlieren zum Teil den Kontakt zum Manager.
Antwort: Clients, die länger ausser Haus waren, buchen sich automatisch wieder ein, sobald sie wieder im Uni-Netz sind
Frage: lokale Ausnahmen, wie können diese gemanaged werden?
Antwort:
Netzwerk / Sicherheit (00:46)Harald Volz
Kurzinfo Netzwerk
Ersatz alter Switch-Hardware: grosse Standorte fast abgeschlossen, nur noch vereinzelt alte Geräte vorhandenWartungswochenende: in Kürze werden neue Termine bis Ende 2014 bekannt gegeben
bitte bei Kongressplanung berücksichtigenUpdate VPN-Gateway und Clientsoftware geplant
Umfangreiche Tests laufenEs wird vorab ausreichend per Email informiert
Miniswitches:
Erinnerung: Miniswitches gibt es vom URZ – und nur vom URZ Meinungsbild: Druckerzone im Netzwerk
Idee: alle Drucker in einer speziellen Sicherheitszonehinter interner Firewallprivate Netzadressen
Vorteile:Netzdose kann nicht mehr missbraucht werdenbegrenzter Zugang nur aus Intranet
Nachteile:Umadressieren der GeräteAppletalk - würde nicht zwischen Vlans funktionieren (da es schon länger nicht mehr gerouted wird) -besteht dort noch Bedarf?
Fragen und Antworten aus dem Auditorium:
Es existieren zum Teil Messgeräte, welche Apple-Talk einsetzenCanon-Geräte bestellen zum Teil automatisch nach, wie kann das gelöst werden?
Kann über spezielle Gateways realisiert werdenAllgemeine Frage von Harald Volz: Wie gross ist die Schmerzgrenze?
Antworten: recht grossHinweis: Lohnt der Aufwand? Es gibt genug "öffentlich zugängliche Netzwerkdosen"?
Neuigkeiten zu Risiken und Malware / Trends der letzten Monate
Verbreitungswege
klassische Clientsüber WEB: Anzahl verseuchter Webseiten steigt weiterhin kontinuierlichSwitch nimmt CH-Webseiten per DNS vom Netz, wenn diese befallen sind (04/2011: ca. 95, 04/2012: 110,04/2013: 240)vermehrt seriöse Webseiten ( gehacktwww.sparkasse.de,www.pc-welt.de,www.nbc.com)weiterhin: über Werbedienstleister wird infizierte Werbung geschaltet (z.B. auf www.spiegel.dewww.heise.de,etc)
wie finden Angriffe statt:Fertige Exploit-Kits (zwei verbreitete: REDKit und Blackhole exploit kit)
diese testen Browser automatisch auf vorhandene (ungepatchte) Schwachstellen und nutzen diese aus=> Installation SchadsoftwareVermehrt auch plattformübergreifend (z.B. gegen JAVA auf Windows und MacOSX)
Viren per Emailseit Monaten kommen Viren auch wieder verstärkt per Emailtrotz drei Schutzmechanismen des URZ kommen diese Mails an den Anwender, da es sich jeweils umbrandneue Varianten handeltzum Teil gezielte Email-Angriffe auf Unternehmen und Einrichtungen (Zielgruppe UniBasel: Verwaltung,Professoren)meist getarnte Exe-Dateien in .zip-Files
Fazit: Virenscanner versagten zum Teil auf Grund von Aktualität und Vielfalt der Viren.
Darum: Patchen der Clients und gesunden Menschenverstand einsetzen: Stop - Think - Click!
Harald Volz demonstriert einige aktuelle Beispiele - siehe Video unter ab Minutehttp://urz.unibas.ch/content.cfm?content=22260
Auswirkungen
Ransomware: Zahlungsaufforderungen, neuste Variante kopiert verbotene pornographische Inhalte auf den RechnerNachladen von Fernsteuersoftware auf den Rechner (ständig aktualisiert wg. Antivirus-Software)Passwort-/Kreditkartendateninfo-Klau via KeyloggerManipulation Online-BankingWerbeeinblendungen
Bitte eMail an oder wenn Hinweise [email protected] [email protected]
Beispiel: Extremfall NewYork Times
Chinesische Hacker haben sich über Monate hinweg in das Netzwerk der New York Times gehacktVerschleiert wurde der Netzwerkverkehr über Universitätszugänge und ständigen IP-Wechselim NYT-Netzwerk wurden mindestens drei Backdoors installiert und weitere Computer angegriffenes wurden gezielt Informationen von Mailservern und Computern über Artikel zu Chinesischen Finanz- undGeschäftsinteressen gesammeltinnerhalb dieser Zeit wurden 45 verschiedene Typen von modifizierter Malware installiert. Die von der NY-Timeseingesetzten Virenscanner schlugen nur in einem Fall Alarm
Gegenmassnahmen
VirenscannerWichtig, aber helfen nur begrenzt (>120Mio zum Teil kurzlebige Varianten)
Verkehrsmonitoring (extern und intern)Switch => "Most likely reports"Shadowserver.org => "drone report"Unibas-Firewalls => Loganalyse (gelegentlich, nach verfügbaren Personalressourcen)
auf Client-Seite: PatchenBetriebssysteme
ApplikationenBrowserPlugins
Smartphones
Android als Hauptziel für MalwareFlash-Update im BrowserTrojanische Apps im PlaystoreSMS/Mails fordern Installation von SLS-Zert-APP für mTan
Aktuelle Antivirenprogramme in Tests teilweise wirkungslos und leicht auszutricksen durch kleine Änderungen
Gegenmassnahme: nicht gedankenlos installieren!
iPhone: Viele Lücken im Betriebssystem, jedoch kaum Malware verfügbarAber:
Risiko "mobileconfig profiles":Profil kann sämtliche Netzwerkeinstellungen verändernGefahr: Man-in-the-Middle-Attacke
Risiko: Codesperre austricksenApple patcht nur hinterherBruteforce-Attacken möglich via Jailbreak (<7 Minuten für 4-Ziffern-Code auf iPhone4)
Darum: keinen einfachen Code verwenden => mehr als 4 Ziffern
Server
Webserver-Schwächen: z.B. nginx, php, Coldfusion 9+10Applikationsschwächen: Wordpress-Plugins, cURL, Wiki MoinMoin etc.--> Manipulation von Pages oder--> Webserver-Rootkits (http-Backdoor oder auch sshd-Backdoor (dynamisches Zufügen von Schadcode, keineLog-Einträge))Ziel: Seitenmanipulation für Exploitkits (Drive-by-infection), PW-phishing
Kurioses und spezielles
.edu-Server gehacktZugriff auf Verwaltung kompletter .EDU-Domain~7500 Credentials veröffentlichtAngeblich auch Hack der Webseiten von nagios, wireshark, mono, sqlite nmap
diverse Homerouter-LückenZugang von draussenWPS-Bruteforce (max. 11'000 Versuche) => Verbinden mit dem Wlan in kurzer Zeit möglich => WPSdeaktivieren!
Vaillant-HeizungenWeb-Schnittstelle bei ecopower 1.0 mit Sicherheitslücke
Backdoor in HP-Kaserjet-Modelletelnet auf speziellen Port ohne PQ führt in Debug-Modus
Phishing
mehrmals wöchentlich werden Phising-Emails an [email protected]: User antworten weiterhin zu oft auf diese Mails oder geben Username/Passwort auf schlecht gefälschtenSeiten anBeispiel: webmail.unibas.ch - schlechte Kopie
Weitere Beispiele im Video unter http://urz.unibas.ch/content.cfm?content=222
Zum Teil findet eine Sperrung durch Browser-Hersteller statt, wenn dort gemeldetManche Seiten werden bereits auf der URZ-Firewall geblockt (löst das Problem nur innerhalb des Unibas-Netzwerks)
Username/Passwort ist der einzige Schutz von VPN/Email etc.!
Passworte dürfen nicht weitergegeben werden. Das URZ fragt niemals solche Informationen ab!
HV dankt für Informationen, die an gesendet [email protected]
Wir bearbeiten alle Infos, wenn sie unibas-relevant sind (nicht UBS, Paypal) - aber geben keine Rückmeldung (wg. Dublettenetc.).
Fragen: Geschäftsmodell Spamschleudern: Besteht Gefahr, gezielt auf Forschungsinformationen hin Schadsoftware zuentwickeln (a la Stusxnet)?
Antwort: Aufwand ist nur mittelhoch, allerdings
Frage: Gibt es eine neue Version des BootCD-Tools Disinfect?
Antwort: Es wurde eine neue Version veröffentlicht - diese ist kostenpflichtig, URZ kann seine Kopie verleihen - Beschaffungunter Disinfect 2013
Abschluss (01:23)
Michael Brüwer bedankt sich für die Teilnahme und lädt die Anwesenden zu Diskussionen und Apéro im URZ-Foyer.