dihegroup

kann denn jemand was dazu schreiben? Ob mein eigener Anteil ersichtlich ist, ob die Thematik klar ist und das wichtrigste ist ob ich jetzt die Anforderungen bzw. Anmerkungen zur Überarbeitung erfühlt habe?

Ich wünsche allen eine gute Nacht und vielen Dank für heutige Posting. Und im Vorfeld für die von Morgen.

Ich würde sehr gerne irgendwelche Kommentare zum Antrag hören Auch wenn es eventuel Inhaltlich etwas ergänzt werden soll. BITTE !!!!!!

Ein Honeypot kann die Ausbreitung deutlich verlangsamen bzw. nichtig machen. z.B. ein Link zu Honeyd aber andere Honeypotlösungen sind auch zu berüksichtigen http://www.fp6-noah.org/events/workshop-1/provos-honeyd.pdf Ich weiss, die Technologie ist ziemlich neu im Vergleich zu IDS obwohl so neu auch nicht.

Jein. Zwar ist es schon richtig doch kann IDS nicht den Viruskörper z.B. speichern oder die Signaturen MÜSSEN ständig aktualisiert werden (wie auch die Antivierensoftwaresignaturen). IDS kann so weit ich weiss keine sonstige Handlungen als Benachrichtigung bzw. Protokollierung ausüben? Ideal ist ein Model: IDS + Honeypots. Aber dies würde meinen 35 Stunden Projekt sprengen.

Bei 1000 Clients und 200 Server ist es etwas problematisch ein Netz dicht zu machen (so ein vorgehen ist mit ennormen Kosten verbunden) P.S.: meine Gedanken Wie meinst du das jetzt? Als Con****er anschlug haben sich bei uns und auch bei Lufthansa z.B. (ich weiss nicht ob die Deutsche Bahn davon auch betrofen war) sämtliche AD-Server alle Konten gespert und die Antivirushersteller haben dann erst in ein Paar Tagen nachgezogen. zwar wurde das Problem später gelöst, aber die Problemlösung könnte mit Hilfe eines Honeypots viel schneller gelöst wenn gar ganz vermieden werden. IDS und Antivierussoftware haben sich überhaupt nicht gemeldet. In einem Con****er bzw. MSBlast fall könnte es auch so weit gegangen sein, dass die Würmer die Antivirussoftware ganz unbrauchbrar machen könnten und dann hat man wikrlich ein Problem bei der Menge von Clients und Servern.

Es ist auch möglich mit einem Honeypot die Ausbreitung des Würmes wie z.B. MsBlast oder Con****er deutlich zu verlangsamen oder auch z.B. zurückzuschlagen in dem man auf jedes System, (welches verseucht ist und auf den Honeypot zugreift) welches den Honeypot angreift mit einem Script zugreift und im Falle einer Möglichkeit (z.B. upload eines Säuberungsscriptes per TFTP) die verseuchten Client zu säubern. Man kann sehen von welchem Rechner die ersten Angriffe stattgefunden haben (zeitlich auswerten). Weiter gedacht kann es auch theoretisch möglich sein wieder mit hilfe eines Scripts die Verseuchten Rechner in ein separates Vlan zu schicken bis diese gesäubert bzw. unschädlich gemacht werden?

Und hier ist der alte Antrag: 1. Projektbezeichnung Frühzeitiges Erkennen von Angreifern und Schadprogrammen im Netzwerk mit Hilfe von Honeypot-Systemen (Rechner bzw. Netzwerksimulation) 1.1 Projektbeschreibung Zur Verkürzung der Reaktionszeiten bei einem Angriff oder Malware-Befall möchte die xxx GmbH Köln Angriffe auf die Server und Clients im lokalen Netzwerk mit Hilfe von Honeypot-Systemen analysieren. Man möchte wissen, von wo aus, wann und wie ein Angreifer bzw. die Schadsoftware in einem Angriffsfall vorgegangen ist um dadurch Sicherheitslücken und Schwachstellen in eigenen Systemen aufzudecken. Mit den gewonnenen Erkenntnissen sollen die Systeme sicherer gemacht und neue Sicherheitsstrategien entwickelt werden . Die Auswahl der Honeypotsoftware wird erst zu einem späteren Zeitpunkt durch eine Evaluierung festgelegt. 2. Projektumfeld Das Projekt wird firmenintern in xxx GmbH durchgeführt. In dem lokalen Netzwerk sind mehr als 1100 Arbeitsplatzstationen (vorwiegend Windows XP Pro.) und 200 Server im Betrieb. Die Durchführung findet in der IT-Operations-Abteilung statt und wird vom Herrn Max Musterman (Site IT Coordinator) überwacht. Local Area Network mit Anbindung an das Internet so wie Hardware für Honeypot- Systeme ist in der xxx GmbH bereits vorhanden. 3. Projektphasen mit Zeitplanung in Stunden 3.1 Ermittlung des Ist-Zustandes (1 Stunden) 3.2 Erstellung des Soll-Konzepts (1,5 Stunden) 3.3 Planung der Durchführung und Evaluierung der benötigter Hard- und Software (4 Stunden) 3.4 Kosten-Nutzen-Analyse (2 Stunden) 3.5 Projektdurchführung 3.5.1 Installation einer Testumgebung (1,5 Stunden) 3.5.2 Konfiguration der Honeypot-Systeme (6 Stunden) 3.5.3 Testphase und Funktionsüberprüfung (3 Stunden) 3.5.4 Soll - / Ist - Analyse (1 Stunde) 3.6 Projektabschluss und Abnahme (3 Stunden) 3.7 Projektdokumentation (9 Stunden) 3.8 Puffer (3 Stunden) 3.9 Gesamt (35 Stunden)

Das ist ja der Punk, in der DMZ nüzt es recht wenig, da die meisten "Angrife" aus dem Lokalen Netz erfolgen (mitgebrachte USB-sticks oder wenn die Malware über den Internetbrowser von einem Client in das Interne Netzwerk gelangt).

ja, ist zwar eine Lösung doch dabei ist es fast nur ein Begriff wie z.B. Datensicherung. Es gibt Honeypots welche nur als eine Anwendung auf einem Server laufen und dann widerrum ganze Systeme welche ein Honeypot darstellen. Dann kann man es virualisieren oder auch nicht etc. (versuche mich zu währen ) Die Ausgangsfrage lautet: wie kann man Angriffe erkennen. Ein vergleich der Funktionsweise von IDS und Honeypots würde den Projektrahmen komplett sprengen. Zu dem ein IDS schon im Netzwerk fungiert (hat aber den Con****er leider nicht vorhersagen können...). Soll ich das eventuel im Projektantrag auch noch erwähnen?

Hallo zusammen, bitte bitte guckt mal kurz meinen Projektantrag durch da ich schon so langsam am verzweifeln bin nach dem die IHK es bereits zum zweiten mal zur Überarbeitung geschickt hat Hier ist nun mal die überarbeitete Version, an welcher ich im Moment dran bin. BIN FÜR JEDEN HINWEIS BZW. JEDE KRITIK DANKBAR!!!!! Die Zeit läuft mir davon da ich den Antrag bis Mittwoch abgeben muss. P.S.: mit der geplannten Dokumentation habe ich nicht so richtig verstanden was da genau rein soll... 1. Projektbezeichnung Frühzeitiges Erkennen von Angreifern und der Aktivität der Schadprogramme im Netzwerk mit Hilfe eines Honeypot-Systems 1.1 Projektbeschreibung Im lokalen Netzwerk der xxx GmbH sind mehr als 1100 Arbeitsplatzstationen und 200 Server im Betrieb. Auf jeden System ist eine aktuelle Antivirenlösung des Herstellers McAfee installiert. Trotz der Antivirenlösung kommt es immer wieder wegen Schadprogrammen zur Systemausfällen. Die Instandsetzung/Neuinstallation der Arbeitsplatzrechner und der Server nimmt sehr viel Zeit in Anspruch. In dieser Zeit können keine benötigten Dienste angeboten werden, was zur Folge hat, dass die Mitarbeitet nicht arbeiten können und es sich negativ auf den ganzen Betrieb auswirkt. Zur Verkürzung der Reaktionszeiten bei einem Angriff oder Malware-Befall möchte die xxx GmbH Köln Angriffe auf die Server und Clients im lokalen Netzwerk mit Hilfe von Honeypot-Systemen analysieren. Man möchte wissen, von wo aus, wann und wie ein Angreifer bzw. die Schadsoftware in einem Angriffsfall vorgegangen ist um dadurch Sicherheitslücken und Schwachstellen in eigenen Systemen aufzudecken. Zu dem sollen die Ausfallzeiten verkürzt werden, in dem den Systemadministratoren die Möglichkeit gegeben wird nach den ausgewerteten Protokollen des Honeypot-Systems selbst einzugreifen. Nach Möglichkeit kann der Malware-Körper, wenn dieser eingefangen wird, zu den Antivirenherstellern zur Analyse geschickt werden um so schnell wie möglich eine passende Bekämpfungslösung zu finden. Mit den gewonnenen Erkenntnissen sollen die Systeme sicherer gemacht und neue Sicherheitsstrategien entwickelt werden. Der Honeypot-Server, welcher die Netzwerkdienste einer/es Arbeitsstation/Servers oder eines ganzen Rechnernetzes simulieren soll, soll in einer Testumgebung aufgesetzt und auf die Funktionalität geprüft werden. Meine Aufgaben in diesem Projekt sind: Zu entscheiden, welche Art der Implementierung und welcher Grad der Interaktion bei der Auswahl der Honeypotsoftware am sinnvollsten sind. Installation eines noch auszuwählenden Betriebssystems und Honeypotsoftware. Einbindung der 5 vorinstallierten verfügbaren Clients und eines Honeypot-Servers in ein Testnetzwerk mittels eines Switches. Netzwerkkonfiguration so wie Konfiguration des Betriebssystems und der Honeypotsoftware. Jeder Zugriff auf das Honeypot-System, das keine konventionellen Dienste anbietet und daher niemals angesprochen werden soll, wird als Angriff ausgewertet, protokolliert und dem Administrator gemeldet. Überprüfung der Funktionalität des Honeypot-Servers mit dem gezielten Einsatz eines Portscanners, Sicherheitsscanner, Telnet und einer sich im Netzwerk verbreitenden Malware. Erstellung einer projektbezogenen Dokumentation. 2. Projektumfeld Die xxx Gruppe ist das drittgrößte unabhängige Chemie-Unternehmen der Welt und ein führender Hersteller von petrochemischen Produkten, Produkten der Spezialchemie sowie Produkten auf Rohölbasis. xxx umfasst 19 Geschäftsbereiche und unterhält Produktionsstätten in 20 Ländern. Für xxx arbeiten ca. 16.600 Mitarbeiter, die pro Jahr über 32 Millionen Tonnen an petrochemischen Produkten herstellen und aus 20 Millionen Tonnen Rohöl pro Jahr Treibstoffe produzieren; das Gesamtverkaufsvolumen liegt bei ca. 45 Milliarden US Dollar. xxx Köln wurde im Jahr 1957 unter dem Namen "xxx GmbH" als Joint Venture der Gesellschaften xxxy gegründet. Das Projekt wird firmenintern in der xxx Köln GmbH durchgeführt. Die Durchführung findet in der IT-Operations-Abteilung statt und wird vom Herrn Max Musterman (Site IT Coordinator) überwacht. Die benötigter Hardware und die Netzwerkkomponente sind bei xxx Köln GmbH bereits vorhanden. 3. Projektphasen mit Zeitplanung in Stunden 3.1 Ermittlung des Ist-Zustandes (1 Stunden) 3.2 Erstellung des Soll-Konzepts (1,5 Stunden) 3.3 Planung der Durchführung und Evaluierung der benötigter Hard- und Software (4 Stunden) 3.4 Kosten-Nutzen-Analyse (2 Stunden) 3.5 Projektdurchführung 3.5.1 Installation einer Testumgebung (1,5 Stunden) 3.5.2 Konfiguration der Honeypot-Systeme (6 Stunden) 3.5.3 Testphase und Funktionsüberprüfung (3 Stunden) 3.5.4 Soll - / Ist - Analyse (1 Stunde) 3.6 Projektabschluss und Abnahme (3 Stunden) 3.7 Projektdokumentation (9 Stunden) 3.8 Puffer (3 Stunden) 3.9 Gesamt (35 Stunden) 4. Angaben zur geplannten Projektdokumentation Prozessorientierter Projektbericht mit den Anlagen: Dokumentation für die Fachabteilung. ENDE Und hier sind die Anmerkungen zu dem vorherigen Antrag: Anmerkungen zum Antrag: es wird inhaltlich leider immer noch nicht deutlich, welche Arbeiten der Prüfling innerhalb seines Projektes nun ausübt! Beschränkt sich gegebener Projektantrag nun auf ausschließliche Softwareinstallation oder soll hier mehr dargestellt werden? Werden zusätzlich Konfigurationstätigkeiten ausgeführt wie physikalische Anbindung von Netzwerkkomponenten und wie wird qualitativ am Ende getestet ob gezeichnetes Projekt überhaupt funktional ist??- Stellen Sie in der kurzen Projektbeschreibung Ihr Projekt ausführlicher und präziser dar (nicht nur Aufzählung von groben Inhalten). - Stellen Sie das Ziel bzw. den Nutzen des Projektes für das Unternehmen bzw. den Kunden heraus. - Stellen Sie nachvollziehbar Ihren eigenen Anteil am Projekt heraus. - Die Angaben zur geplanten Dokumentation reichen nicht aus. Spezifizieren Sie bitte detaillierter die Bestandteile Ihrer Projektdokumentation und berücksichtigen Sie alle für Ihre Projektaufgabe wesentlichen Dokumentationsbestandteile.