![[PRINT]](/_images/printer1.png)
Konzept und Implementierung eines Mechanismus für die automatisierte Meldung sicherheitsrelevanter Ereignisse
Hintergrund der Arbeit:
Das Leibniz-Rechenzentrum (LRZ) setzt an seinen Internet-Zugängen im Rahmen seines Security-Monitorings verschiedene Mechanismen ein. Neben signaturbasierten Intrusion Detection Systemen wird auch auf Basis von NetFlows nach Traffic-Anomalien und damit verbundenen sicherheitsrelevanten Ereignissen gesucht. Gerade bei den signaturbasierten Methoden sind regelmässig, z.B. täglich Updates der verwendeten Regelsätze durchzuführen, um auch aktuelle Schadsoftware erkennen zu können. Die von den Security-Mechismen erkannten Auffälligkeiten werden in einem zentralen Security Information & Event Management (SIEM) System gesammelt, dort mit Ereignisse anderer Quellen korreliert und automatisch ausgewertet. Regelbasiert wird bei Eintritt bestimmter Ereignisse der für das betroffene System zuständige Netz- oder Systemverantwortliche per E-Mail informiert oder die IP-Adresse am Internet-Übergang per Router-ACL oder das am vom LRZ betriebenen Secomat-NAT-Gateway gesperrt. Ergänzt wird dieser weitestgehend automatische, SIEM-basierte Alerting-Mechanismus durch die skriptbasierte Verarbeitung von externen Stellen an das LRZ Abuse-Response-Team geschickten Hinweismeldungen, etwa durch das CERT-Bund oder das DFN-CERT.
Ziel der Arbeit:
Im Rahmen dieser Bachelorarbeit soll ein Konzept für einen Mechanismus für die automatisierte Meldung sicherheitsrelevanter Ereignis an
die Netzverantwortlichen bzw. Benutzer erstellt und umgesetzt werden.
In einem ersten Schritt gilt es Anforderungen an solch einen Mechanismus auf Basis einer Bestandsaufnahme und Gesprächen mit dem
LRZ Abuse-Response-Team zu erarbeiten, zu verallgemeinern und in einem gewichteten Anforderungskatalog zusammenzufassen.
Der zu konzipierende Meldemechanismus soll beispielsweise bei versendeten E-Mails sowohl statische als auch dynamische Teile umfassen
(z.B. in Form vertiefender Informationen zur beobachteten Auffälligkeit, Anzahl bereits verschickter Meldungen an denselben Empfänger usw.),
in die bereits produktiv eingesetzte SIEM-basierte Alarmierung integriert werden und auch Regelupdates, insbesondere neu hinzukommende IDS-Regeln,
berücksichtigen.
An mehreren im Rahmen der Arbeit zu berücksichtigenden Stellen soll auf bereits existierende und praktisch eingesetzte Funktionen und
Schnittstellen zurückgegriffen werden, die somit geeignet integriert werden müssen. Der erarbeitete Mechanismus soll ausserdem
die derzeit von Mitarbeitern des LRZ Abuse-Response-Teams noch manuell weitergeleiteten Informationen verschiedener CERT-Teams (siehe oben)
und Informationen, wie sie beispielsweise bei vom LRZ regelmässig durchgeführten Port- und Schwachstellenscans erzeugt werden,
automatisiert weiterverarbeiten. Hierzu zählt etwa, dass zu einer identifizierten IP-Adresse dynamisch der zuständige
Netzverantwortliche ermittelt werden muss und dass es möglich sein muss, E-Mail-Texte spezifisch für die entdeckte Schwachstelle
zu erstellen und zu verschicken.
Anschliessend soll der konzipierte Mechanismus implementiert werden. Wünschenswert wäre es, wenn die zu verwendenden E-Mail-Texte
dabei über eine zu erstellenden Web-Applikation gepflegt werden könnten.
Aufgabensteller:
PD Dr. W. Hommel
Anforderungen:
- Grundkenntnisse im Bereich IT-Sicherheit
- Grundkenntnisse im Bereich Intrusion Detection Systems
- Erfahrung in der Erstellung von Web-Applikationen und Programmiererfahrung (bevorzugt) in Perl
Dauer des FoPras/SEPs bzw. der Bachelorarbeit: gemäss geltender Prüfungsordnung
Anzahl Bearbeiter: 1
Betreuer: