You are here: Home » Dienste » Verkehrsdatenbeobachtung - Flow-Speicherung
Sorry, this page is not translated yet.

Verkehrsdatenbeobachtung – Flow-Speicherung

Das RUS-CERT erfasst Verkehrsdaten, um den ordnungsgemäßen Betrieb des Paketfilters und der an das Universitäsnetz angeschlossenen Systeme sicherzustellen.

Art der erfassten Daten

Das RUS-CERT erhebt sogenannte Flow-Daten, die einen Teil der Aktivität des Universitätsnetzes widerspiegeln. Ein Flow umfasst folgende Information:

  • erfassender Router
  • Quell-IP-Adresse und Ziel-IP-Adresse (inklusive Origin ASN aus der Internet-Routing-Tabelle)
  • IP-Protokoll
  • Quell-Port und Ziel-Port (bei UDP und TCP) bzw. Typ und Code (bei ICMP)
  • Quell- und Zielinterface auf dem Router
  • Beginn und Ende des Flows (Zeitstempel)
  • Bytes im Flow
  • Anzahl der Pakete im Flow

Aus diesen und weiteren Daten (i.W. der Filterkonfiguration) wird ermittelt, ob der Flow durch den Router gefiltert wurde und welche Richtung er hat (aus dem Internet ins Universitäsnetz oder in die andere Richtung).

Ferner hat das RUS-CERT Zugriff auf die Accounting-Daten des BelWü (vgl. IP-Accounting im 50. Arbeitsbericht der BelWü-Koordination und weitere Arbeitsberichte). Diese Daten ähneln in der Rohfassung den oben beschriebenen Flow-Daten, die das RUS-CERT erhebt. Das BelWü erstellt daraus Tagesstatistiken für die internen und externen IP-Adressen mit dem meisten Verkehr. Die Statistiken sowie die zugehörigen Rohdaten werden vom RUS-CERT bei Bedarf herangezogen, eine automatische Auswertung oder Speicherung findet nicht statt.

Verwendungszweck der Daten

Die Daten werden im Rahmen der täglichen Arbeit des RUS-CERT für folgende Zwecke eingesetzt:

  • Validierung von Beschwerden über Spam, Denial-of-Service-Angriffe u.ä.
  • Detektion von Portscans aus dem Universitätsnetz auf externe Netze
  • Detektion von Portscans innerhalb des Universitätsnetzes (soweit technisch möglich)
  • Detektion von Schadsoftware im Universitätsnetz (inklusive Versuch einer ersten Klassifizierung)
  • Betrieb eines Internet-Teleskops, um Änderungen an der Bedrohungslage zu verfolgen (z.B. neuartige Malware)
  • Ursachenforschung bei unerwarten Spitzen im Datenverkehr; Hier ist der Vergleich mit den entsprechenden Wochentagen aus der vorangegangenen und ggf. der vorvergangenen Woche (Referenztage) maßgeblich. So erklärt sich die Speicherfrist von 15 Tagen (s.u.), die für den aktuellen Tag den Vergleich zu zwei Refenztagen zulässt.
  • Bei zeitnah festgestellter Kompromittierung werden die Daten für die Untersuchung des Vorfalls mitverwendet.

Für die Detektion werden periodisch Beichte erstellt, die dann von den RUS-CERT-Mitarbeitern bearbeitet werden. Für das Abuse-Handling ist eine Vorhaltung der Daten erforderlich, um auch eine verzögert eintreffende Beschwerde ordnungsgemäß bearbeiten zu können.

Speicherfristen

Folgende Speicherfristen gelten für die vom RUS-CERT erhobenen
Daten, in Abstimmung mit der Datenschutzstelle der Universität Stuttgart:

  • Die Flow-Daten werden 15 Tage gespeichert.
  • Im Rahmen der Vorfallsbearbeitung ermittelte Flowdaten werden zu Beweissicherungszwecken gemäß der gesetzlichen Vorgaben aufbewahrt.

Die hier angegebenen Zeiträume sind Maximalwerte, die tatsächlichen Speicherfristen können je nach verfügbarer Speicherkapazität geringer ausfallen.

Maßahmen in begründeten Einzelfällen

In begründeten Einzelfällen können für einzelne Systeme die Flow-Daten länger gespeichert werden. Falls der Anlass für die Speicherung entfällt, werden die Daten gelöscht.

In begründeten Einzelfällen kann das RUS-CERT zur Gefahrenabwehr und zur Fehlersuche direkt auf den Datenverkehr aufschalten, der zwischen dem Universitätsnetz und der Internetanbindung fließt. Nach Möglichkeit werden dabei die Ansprechpartner für die betroffenen Netze durch das RUS-CERT informiert.