Universität Stuttgart

Monitoring und Analyse von Netflows

Das RUS-CERT erhält vom TIK von den Borderroutern zwischen Uninetz und Internet sowie von den Gebietsroutern Metadaten zum Netzwerktraffic, sogenannte (Net-)Flows.

Diese werden von uns genutzt, um Angriffsversuche von außen sowie auffälliges Verhalten von Systemen im Uninetz zu erkennen.

Was sind Flows?

Flows sind Metadaten von Netzwerkverbindungen. Sie beinhalten vor allem die IP-Adressen der Kommunikationspartner sowie Daten zum verwendeten Protokoll.

Was erfassen wir da genau... und was nicht?

Mit NetFlows werden folgende Verbindungs-Metadaten erfasst:

Folgende Daten werden insbesondere also nicht erfasst:

Mithilfe von Flow-Daten lässt sich also zum Beispiel erkennen, wenn eine Verbindung von einem System im Uninetz zu einem Webserver der Deutschen Bahn aufgebaut wurde, aber nicht welche Verbindung angefragt oder ob ein Ticket gebucht wurde.

Warum erfassen wir Flows?

Mithilfe der Flow-Daten können wir auf verschiedene Arten die Informationssicherheit an der Uni Stuttgart erhöhen und unseren Ansprechpersonen gezielt unterstützen:

Wie lange werden Flows gespeichert?

Die Flowdaten werden für 15 Tage gespeichert und danach automatisch gelöscht. Im Falle von Sicherheitsvorfällen, die eine manuelle Auswertung der Flows erfordern, können die für die Vorfallsbearbeitung relevanten Flows länger gespeichert werden.