FAQ zu Automatischen Warnmeldungen

Was ist der AW-Dienst?

Das Kürzel „AW“ steht für „Automatische Warnmeldungen“. Über diesen Dienst erhalten Sie
automatisch generierte Warnmeldungen, wenn beim DFN-CERT Auffälligkeiten im Zusammenhang
mit IP-Adressen Ihrer Einrichtung bekannt geworden sind.

Wer sollte diesen Dienst nutzen?

Der Dienst sollte von allen am DFn teilnehmenden Einrichtungen genutzt werden, die über Sicherheitsprobleme in ihrem Netzwerk informiert werden wollen, sobald diese dem DFN-CERT vorliegen. Dadurch erhöhen Sie nicht nur die Sicherheit in Ihrer Einrichtung, sondern reduzieren auch das Risiko, dass Dritte durch kompromittierte Systeme Ihrer Einrichtung angegriffen werden.

Was muss ich tun, um am AW-Dienst teilzunehmen?

Um am Dienst teilzunehmen, benötigen wir einen rechtsgültig unterschriebenen Teilnahmeantrag,
durch den eine „handlungsberechtigte Person“ benannt wird. Nur diese handlungsberechtigte Person
kann den Erhalt von Automatischen Warnmeldungen für Ihre Einrichtung veranlassen. Dadurch wird
sichergestellt, dass sicherheitskritische Daten zu kompromittierten Systemen Ihrer Einrichtung nicht
an Unbefugte versandt werden. Das entsprechende Formular senden wir Ihnen gerne zu. Schicken
Sie dazu bitte eine formlose E-Mail an cert@dfn.de.

Was kostet die Teilnahme am AW-Dienst?

Die Teilnahme am AW-Dienst ist für Einrichtungen, die den Dienst DFN-Internet nutzen, unentgeltlich.

Welchen laufenden Aufwand verursacht der AW-Dienst bei mir?

Der Aufwand hängt von der Anzahl der aufgetretenen Vorfälle ab. Erfahrungsgemäß schwankt diese
von einigen Vorfällen pro Woche bis zu ein oder zwei Vorfällen pro Jahr. Wie schnell auf den
jeweiligen Vorfall reagiert wird, können dabei nur Sie entscheiden. Grundsätzlich ist Ihr Aufwand für
auftretende Vorfälle niedriger, je eher Sie von einem Problem wissen. Da Sicherheitsprobleme nicht
durch den AW-Dienst entstehen, sondern Sie lediglich früher von diesen erfahren, hilft der AW-
Dienst, zusätzlichen Aufwand und Ärger zu vermeiden.

Ersetzt der Dienst die bisherige Vorfallsbearbeitung beim DFN-CERT?

Nein, der AW-Dienst ersetzt die bisherige Vorfallsbearbeitung nicht, sondern erweitert diese. Wenn
das DFN-CERT Hinweise auf gravierende Sicherheitsprobleme in einer Einrichtung bekommt, werden
diese wie bisher direkt und so schnell wie möglich weitergegeben, egal ob die betroffene Einrichtung
am AW-Dienst teilnimmt. Umgekehrt kann der Empfänger einer Warnmeldung auch jederzeit beim
DFN-CERT nachfragen und den Sachverhalt direkt mit einem Mitarbeiter klären.

Wann werden die Warnmeldungen verschickt?

Die Warnmeldungen werden werktäglich am Vormittag zwischen 9 und 10 Uhr und am Nachmittag
gegen 14 Uhr verschickt. Liegen keine Daten für die von Ihnen konfigurierten Netzblöcke vor, so wird
in der Standardeinstellung auch keine Meldung verschickt.

Woher stammen die Daten über die Vorfälle?

Alle Daten stammen aus öffentlichen Quellen. Die genaue Identifizierung einzelner kompromittierter
Systeme setzt zwar eine umfangreiche Aufarbeitung und Kombination der Daten voraus, so wie dies
vom AW-Dienst gemacht wird. Die Informationen stammen aber auf keinen Fall aus irgendeiner Art
von „Überwachung“ Ihrer Netzbereiche. Eine Quelle sind beispielsweise sog. Honeypots im Netzwerk
des DFN-CERT. Diese werden von kompromittierten Systemen angegriffen und vermeintlich auch mit
einer Schadsoftware infiziert. Dadurch kennt das DFN-CERT unter anderem die IP-Adresse des
angreifenden Systems und kann die Schadsoftware analysieren. Diese Informationen werden dann
der jeweiligen Einrichtung mitgeteilt, zu deren Netzblock die IP-Adresse gehört.

Wie sieht eine typische Warnmeldung aus?

Die Warnmeldungen haben ein Grundformat, das je nach vorliegenden Informationen durch
zusätzliche Details ergänzt wird. In der Warnmeldung werden jeweils alle dem DFN-CERT
vorliegenden Informationen zu möglichen Problemen in einem Netzblock zusammengefasst, die noch
nicht in einer früheren Warnmeldung enthalten waren. Liegen keine neuen Informationen vor, so
wird in der Standardeinstellung auch keine Meldung verschickt. Wie eine Warnmeldung
grundsätzlich aussieht, können Sie an den folgenden Beispielen einer Warnmeldung sehen.

IP-basierte Warnmeldung
Liebe Kolleginnen und Kollegen,dies ist eine automatische Warnmeldung des DFN-CERT. In den letzten Tagen erhielten wir Informationen über mögliche Sicherheitsprobleme auf Systemen in ihrem Netzwerk.Die von dieser Meldung betroffenen Netzblöcke und Kontakte finden Sie am Ende dieser E-Mail.

Ereignisse:IP-Adresse Ereignistyp Anzahl Zuletzt gesehen—————————————————————————192.168.77.12 Bot 1 2014-10-2202:58:55+02:00192.168.77.62 Scan/Portscan 1 2014-10-2002:05:18+02:00
Diese Meldung finden Sie auch im Portal unter https://portal.cert.dfn.de/notifications/show/…/Weitere Informationen zu den Ereignistypen und dem Dienst allgemein sind auf den Seiten des DFN zu finden: https://www.cert.dfn.de/autowarnWir stehen natürlich für Rückfragen unter <cert@dfn-cert.de> zur Verfügung.
Mit freundlichen Grüßen,Ihr DFN-CERT Incident Response Team
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Details zu den Ereignissen pro IP:===========================================================================IP-Adresse: 192.168.77.12Ereignistyp: BotZeitstempel: 2014-10-22 02:58:55+02:00Anzahl: 1
Beschreibung: Auf dem System scheint eine Bot-Software betrieben zu werden, die versucht, einen HTTP- oder IRC-basierten Bot-Netz Control-Server zu erreichen. Zu den unterschiedlichen Malwaretypen finden Sie unter der folgenden Webseite mehr Informationen: http://www.cert.dfn.de/index.php?id=3DbotZuletzt gesehen IP-Protokoll Quellport Zielport Malware—————————————————————————2014-10-22 02:58:55+02:00 43647 Conficker===========================================================================IP-Adresse: 192.168.77.62Ereignistyp: Scan/PortscanZeitstempel: 2014-10-20 02:05:18+02:00Anzahl: 1
Beschreibung: Das System fiel durch wiederholte Verbindungsversuche auf (Portscans). Evtl. ist das System kompromittiert und es wird nun nach weiteren verwundbaren Systemen gesucht.Zuletzt gesehen IP-Protokoll Quellport Zielport Malware—————————————————————————2014-10-20 02:05:18+02:00 TCP 80~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Diese Meldung betrifft die folgenden Netzblöcke und Kontakte.Netzblöcke: 192.168.77/24Kontakte: abuse@hs-musterstadt.de—Incident Response Team, DFN-CERT Services GmbHhttps://www.dfn-cert.de/, +49 40 808077-590

Domainbasierte Warnmeldung
Liebe Kolleginnen und Kollegen,
dies ist eine automatische Warnmeldung des DFN-CERT. In den letzten Tagen erhielten wir Informationen über mögliche Sicherheitsproblemeauf Systemen in ihrem Netzwerk.
Meldungen:
Domain Meldungstyp Anzahl Zuletzt gesehen—————————————————————————portal.dfn-cert.de Service Monitoring/Unreachable Service 12022-07-04 09:30:02+00:00
Diese Meldung finden Sie im Portal unter:https://portal.cert.dfn.de/notifications/show/…/
Weitere Informationen zu den Meldungstypen und dem Dienst allgemein sind auf den Seiten des DFN zu finden:https://www.cert.dfn.de/autowarn
Wir stehen natürlich für Rückfragen unter <cert@dfn-cert.de> zur Verfügung.
Mit freundlichen Grüßen,Ihr DFN-CERT Incident Response Team

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Details zu den Meldungen pro Domain:===========================================================================Domain: portal.cert.dfn.deMeldungstyp: Service Monitoring/Unreachable ServiceZeitstempel: 2022-07-04 09:30:02+00:00Anzahl: 1Beschreibung: Der überwachte Dienst ist nicht erreichbar.Zuletzt geprüft URL~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~2022-07-04 09:30:02+00:00 https://portal.cert.dfn.de/cert/login~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Diese Meldung betrifft die folgenden Kontakte.Kontakte: Cert <cert@dfn-cert.de>—Incident Response Team, DFN-CERT Services GmbHhttps://www.dfn-cert.de/, +49 40 808077-590
Mit jeder verschickten Warnmeldung wird ein maschinenlesbarer Anhang im XML-Format angehängt.Die Deklaration ist unter https://portal.cert.dfn.de/2014/aw/aw.xsd und ein Beispiel sehen sie im Folgenden.
<warning id=“…“ version=“4.0″ xsi:schemaLocation=“https://portal.cert.dfn.de/2014/aw/https://portal.cert.dfn.de/2014/aw/aw.xsd“><message domain=“portal.cert.dfn.de“ category=“Service Monitoring/Unreachable Service“><description>Der überwachte Dienst ist nicht erreichbar.</description><event timestamp=“2022-07-04T09:30:02+00:00″ source_url=“portal.cert.dfn.de/cert/login“/></message></warning>

Benötige ich zur Teilnahme am AW-Dienst ein Zertifikat?

Nein, Sie können den Dienst auch ohne Zertifikat nutzen. In diesem Fall können Sie allerdings die
Konfiguration Ihrer Daten nicht selber vornehmen, sondern müssen die gewünschte Konfiguration
den Mitarbeitern des DFN-CERT per E-Mail mitteilen.

Was kann konfiguriert werden?

Wenn Sie ein passendes Zertifikat der DFN-PKI besitzen, können Sie jederzeit selbst die Konfiguration
Ihrer Warnmeldungen ändern. Sie können mehrere Netzblöcke (für die Sie handlungsberechtigt sind)
angeben und dazu jeweils mehrere E-Mail Adressen der Empfänger. Falls es für unterschiedliche
Teilnetze verschiedene Ansprechpartner gibt, z. B. in Fachbereichen oder Instituten, können Sie dies
auch konfigurieren. Dadurch ist es möglich, für jedes Teilnetz die E-Mail Adresse des
Verantwortlichen zu konfigurieren. Dieser erhält dann nur die Warnmeldungen für dieses Teilnetz.
Weiterhin können das Intervall, in dem die Warnmeldungen verschickt werden sollen, und ein
zusätzlicher Kommentar für den Betreff der Warnmeldung angegeben werden.