Die Diplomarbeit
Mit zunehmender Größe von Netzwerken wird es für den Administrator dieser immer schwieriger den Überblick über den Datenverkehr zu behalten. Dadurch ist es für Benutzer innerhalb und außerhalb des Netzes bzw. Angreifern einfacher möglich unerlaubterweise Unternehmensrichtlinien zu umgehen bzw. dem Netzwerk zu schaden. Betreiber von Netzwerken mit hohen Sicherheitsanforderungen beanspruchen oft Dienstleistungen von diversen Security-Consulting-Unternehmen um dieser Probleme Herr zu werden. Diese sind meistens mit hohem finanziellem Aufwand verbunden. Vor allem die HTL Rennweg sieht sich aufgrund ihres IT-Schwerpunktes massiv mit diesen Problemen konfrontiert, doch für Schulen ist der enorme finanzielle Aufwand in den meisten Fällen nicht tragbar.
Das Ziel des Projektes ist es zu verstehen, wie solche Richtlinienumgehungen bzw. Angriffe für den Administrator überprüfbar gemacht und im besten Fall grafisch dargestellt werden könnten. Darunter fällt unter anderem das Zurückverfolgen einer Verbindung auf einen gewissen Benutzer oder Computer. Hierbei gilt es natürlich die DSGVO zu beachten. Weiters ist es für Administratoren praktisch das Datenaufkommen pro Benutzer oder Raum festzustellen oder die meistbesuchte Website eines Tages einsehen zu können. Um all dies zu bewerkstelligen benötigt man Daten, die man auswerten kann. Um an diese Daten zu kommen werden Log-Daten von diversen Intermediate-Devices (wie z.B. Firewalls, Router, WLAN-Controller, etc.) gesammelt.
Kurzfassung
Durch die immer weiter fortschreitende Digitalisierung versuchen Schulen sowie kleine und mittlere Unternehmen (KMUs) ihre Netzwerke vor Angriffen und Fehlern zu schützen. Security Information and Event Management (SIEM) Systeme können das Netzwerk und dessen Komponenten überwachen, analysieren und die Administratoren dieser Netzwerke über Zwischenfälle informieren. Am Markt werden einige wenige SIEM Systeme angeboten. Die Kosten dieser Systeme können oft nur von großen Unternehmen getragen werden. Schulen und KMUs haben meist nicht die finanziellen Mittel, sich diese Systeme anzuschaffen.
Das Ziel dieser Diplomarbeit ist es zu evaluieren, inwiefern es möglich ist, mit möglichst geringem finanziellen Aufwand ein SIEM System zu entwickeln. Teil dessen ist auch die Entwicklung eines eigenen SIEM Systems und die Einbindung dieses Systems in ein Netzwerk. Dazu wird ein Testnetzwerk aufgesetzt, welches im Kern denselben Aufbau mit dem eines durchschnittlichen Unternehmensnetzwerkes teilt. Die Daten dieses Netzwerks werden durch das entwickelte System gesammelt, gespeichert, verarbeitet, analysiert, interpretiert und visualisiert.
Im Laufe dieser Diplomarbeit wurde herausgefunden, dass das Sammeln der wichtigsten Daten eines Netzwerks ohne finanzielle Mittel, aber mit intensivem Auseinandersetzen mit den jeweiligen Netzwerkgeräten möglich ist. Das automatisierte Interpretieren dieser Daten stellt eine größere Hürde dar. Einfache Angriffe können zwar erkannt werden, komplexere auch mit großem Zeitaufwand nicht. Bei jeder Verarbeitung von personenbezogenen Daten, wie u. a. in dieser Diplomarbeit, ist der Datenschutz, respektive zutreffende Datenschutzgesetze, zu beachten.
Aufgrund der vorliegenden Ergebnisse wird Schulen und KMUs nicht empfohlen, eigene SIEM Systeme zu entwickeln oder entwickeln zu lassen. Es ist auch anzumerken, dass teure, komplexe SIEM Systeme nur bedingten Mehrwert für Schulen und KMUs bieten, da die durch das SIEM System zur Verfügung gestellten Informationen in so kleinen Netzwerken nur geringen Nutzen haben und dadurch nicht die Kosten rechtfertigen.
Downloads
➤ Ansuchen um Zulassung zur Diplomarbeit (302 KB)
➤ Antrag um Zulassung zur Diplomarbeit (561 KB)
➤ Abnahmeprotokoll (472 KB)
➤ Diplomarbeitsbuch (v2.0; Bibliotheksexemplar) (6,9 MB)
➤ Diplomarbeitsbuch (v2.1) (6,8 MB)
➤ Diplomarbeitsbuch (v2.2) (6,8 MB)
➤ Datenbank-Export der unverarbeiteten Logdaten (844 MB, unkomprimiert: 11 GB; verschlüsselt*)
➤ Datenbank-Export der verarbeiteten Logdaten (402 MB, unkomprimiert: 7,3 GB; verschlüsselt*)
➤ Datenbank-Export der ausgewerteten Zwischenfälle (1,8 MB, unkomprimiert: 30 MB; verschlüsselt*)
➤ Datenbank-Export der historischen DNS-Daten (818 MB, unkomprimiert: 7,2 GB; verschlüsselt*)
➤ Git-Repository des Log-Managers (43 MB, unkomprimiert: 109 MB; verschlüsselt*)
➤ Git-Repository des Dashboards (15 MB, unkomprimiert: 43 MB; verschlüsselt*)
* Falls Sie an den Ergebnissen des Projektes interessiert sind und sich diese selbst ansehen möchten, melden Sie sich bei contact@necronda.net um das Passwort zum Entschlüsseln zu erhalten.
Team
Harald Moritz
Projektleitung-Stv.
Aufbereiten der Logdaten & Künstliche Intelligenz
Lukas Bandion
Projektmitarbeiter
Deep Packet Inspection & Erkennen von Angriffen
800 Arbeitsstunden
17. Juni 2019 – 3. April 2020
11.000.000 Log-Nachrichten
gesammelt, gespeichert, verarbeitet & ausgewertet
1.400 Codezeilen
in Python programmiert