Verkehrsdatenbeobachtung – Flow-Speicherung

Art der erfassten Daten

Das RUS-CERT erhebt sogenannte Flow-Daten, die einen Teil der Aktivität des Universitätsnetzes widerspiegeln. Ein Flow besteht aus folgenden Informationen:

• erfassender Router
• Quell-IP-Adresse und Ziel-IP-Adresse (inklusive Origin ASN aus der Internet-Routing-Tabelle)
• IP-Protokoll
• Quell-Port und Ziel-Port (bei UDP und TCP) bzw. Typ und Code (bei ICMP)
• Quell- und Zielinterface auf dem Router
• Beginn und Ende des Flows (Zeitstempel)
• Bytes im Flow
• Anzahl der Pakete im Flow

Mit Heuristiken wird aus diesen Daten ermittelt, ob der Flow durch den Router gefiltert wurde und ob der Flow aus dem Internet ins Universitätsnetz oder in die andere Richtung verläuft. Diese Daten werden ebenfalls mit den Flows gespeichert. Aufgrund der Architektur der Flow-Erfassung kann es verkommen, dass einzelne Pakete oder ganze Flows nicht erfasst werden.

Daneben werden für jede IP-Adresse innerhalb des Universitätsnetzes Datensätze gespeichert, die folgende Information tragen (aggregierte Flow-Daten):

• betroffene IP-Adresse
• Anzahl der empfangenen und gesendeten Bytes, Pakete und Flows
• Start und Ende der Erfassung (Zeitstempel)

Jeder Datensatz spiegelt dabei ein Zeitintervall von etwa fünf Minuten wider. Im Gegensatz zu den eingangs erwähnten Flow-Daten wird bei den aggregierten Daten versucht, alle übertragenen Bytes und Pakete zu zählen.

Ferner hat das RUS-CERT Zugriff auf die Accounting-Daten des BelWüs (vgl. IP-Accounting im 50. Arbeitsbericht der BelWü-Koordination und weitere Arbeitsberichte).
Diese Daten ähneln in der Rohfassung den oben beschriebenen Flow-Daten, die das RUS-CERT erhebt. Das BelWü erstellt daraus Tagesstatistiken für die internen und externen IP-Adressen mit dem meisten Verkehr.
Die Statistiken sowie die zugehörigen Rohdaten werden vom RUS-CERT bei Bedarf herangezogen, eine automatische Auswertung oder Speicherung findet nicht statt.

Verwendungszweck der Daten

Die Daten werden im Rahmen der täglichen Arbeit des RUS-CERT für folgende Zwecke eingesetzt:

• Validierung von Beschwerden über Spam, Denial-of-Service-Angriffe u.ä.
• Detektion von Portscans aus dem Universitätsnetz auf externe Netze
• Detektion von Portscans innerhalb des Universitätsnetzes (soweit technisch möglich)
• Detektion von Schadsoftware im Universitätsnetz (inklusive Versuch einer ersten Klassifizierung)
• Betrieb eines Internet-Teleskops, um Änderungen an der Bedrohungslage zu verfolgen (z.B. neue Internet-Würmer)
• Ursachenforschung bei unerwarten Spitzen im Datenverkehr (hierzu werden die aggregierten Flow-Daten eingesetzt, wobei ein Vergleich mit dem Wochentag aus der vorangegangenen Woche erfolgt)
• Bei zeitnah festgestellter Kompromittierung können die Daten ggf. für eine Forensik mitverwendet werden.

Für die Detektion werden periodisch Berichte erstellt, die dann von den RUS-CERT-Mitarbeitern bearbeitet werden. Für das Abuse-Handling ist eine Vorhaltung der Daten erforderlich, um auch eine verzögert eintreffende Beschwerde ordnungsgemäß bearbeiten zu können.

Speicherfristen

Folgende Speicherfristen gelten für die vom RUS-CERT erhobenen Daten, in Abstimmung mit der Datenschutzstelle:

• Die Flow-Daten werden 8 Tage gespeichert.
• Die aggregierten Flow-Daten werden 15 Tage gespeichert.

Die Speicherfrist für die aggregierten Flow-Daten fällt deshalb länger aus, um Vergleichsdaten für die Untersuchung von Verkehrsspitzen zu haben.

Die hier angegebenen Zeiträume sind Maximalwerte, die tatsächlichen Speicherfristen können geringer ausfallen.

Maßnahmen in begründeten Einzelfällen

In begründeten Einzelfällen können für einzelne Systeme die Flow-Daten länger gespeichert werden. Falls der Anlass für die Speicherung entfällt, werden die Daten gelöscht.

In begründeten Einzelfällen kann das RUS-CERT zur Gefahrenabwehr und zur Fehlersuche direkt auf den Datenverkehr aufschalten, der zwischen dem Universitätsnetz und der offiziellen Internetanbindung fließt. Nach Möglichkeit werden dabei die Ansprechpartner für die betroffenen Netze durch das RUS-CERT informiert.