Argos Logo

Die Diplomarbeit

Mit zunehmender Größe von Netzwerken wird es für den Administrator dieser immer schwieriger den Überblick über den Datenverkehr zu behalten. Dadurch ist es für Benutzer innerhalb und außerhalb des Netzes bzw. Angreifern einfacher möglich unerlaubterweise Unternehmensrichtlinien zu umgehen bzw. dem Netzwerk zu schaden. Betreiber von Netzwerken mit hohen Sicherheitsanforderungen beanspruchen oft Dienstleistungen von diversen Security-Consulting-Unternehmen um dieser Probleme Herr zu werden. Diese sind meistens mit hohem finanziellem Aufwand verbunden. Vor allem die HTL Rennweg sieht sich aufgrund ihres IT-Schwerpunktes massiv mit diesen Problemen konfrontiert, doch für Schulen ist der enorme finanzielle Aufwand in den meisten Fällen nicht tragbar.

Das Ziel des Projektes ist es zu verstehen, wie solche Richtlinienumgehungen bzw. Angriffe für den Administrator überprüfbar gemacht und im besten Fall grafisch dargestellt werden könnten. Darunter fällt unter anderem das Zurückverfolgen einer Verbindung auf einen gewissen Benutzer oder Computer. Hierbei gilt es natürlich die DSGVO zu beachten. Weiters ist es für Administratoren praktisch das Datenaufkommen pro Benutzer oder Raum festzustellen oder die meistbesuchte Website eines Tages einsehen zu können. Um all dies zu bewerkstelligen benötigt man Daten, die man auswerten kann. Um an diese Daten zu kommen werden Log-Daten von diversen Intermediate-Devices (wie z.B. Firewalls, Router, WLAN-Controller, etc.) gesammelt.

Kurzfassung

Durch die immer weiter fortschreitende Digitalisierung versuchen Schulen sowie kleine und mittlere Unternehmen (KMUs) ihre Netzwerke vor Angriffen und Fehlern zu schützen. Security Information and Event Management (SIEM) Systeme können das Netzwerk und dessen Komponenten überwachen, analysieren und die Administratoren dieser Netzwerke über Zwischenfälle informieren. Am Markt werden einige wenige SIEM Systeme angeboten. Die Kosten dieser Systeme können oft nur von großen Unternehmen getragen werden. Schulen und KMUs haben meist nicht die finanziellen Mittel, sich diese Systeme anzuschaffen.

Das Ziel dieser Diplomarbeit ist es zu evaluieren, inwiefern es möglich ist, mit möglichst geringem finanziellen Aufwand ein SIEM System zu entwickeln. Teil dessen ist auch die Entwicklung eines eigenen SIEM Systems und die Einbindung dieses Systems in ein Netzwerk. Dazu wird ein Testnetzwerk aufgesetzt, welches im Kern denselben Aufbau mit dem eines durchschnittlichen Unternehmensnetzwerkes teilt. Die Daten dieses Netzwerks werden durch das entwickelte System gesammelt, gespeichert, verarbeitet, analysiert, interpretiert und visualisiert.

Im Laufe dieser Diplomarbeit wurde herausgefunden, dass das Sammeln der wichtigsten Daten eines Netzwerks ohne finanzielle Mittel, aber mit intensivem Auseinandersetzen mit den jeweiligen Netzwerkgeräten möglich ist. Das automatisierte Interpretieren dieser Daten stellt eine größere Hürde dar. Einfache Angriffe können zwar erkannt werden, komplexere auch mit großem Zeitaufwand nicht. Bei jeder Verarbeitung von personenbezogenen Daten, wie u. a. in dieser Diplomarbeit, ist der Datenschutz, respektive zutreffende Datenschutzgesetze, zu beachten.

Aufgrund der vorliegenden Ergebnisse wird Schulen und KMUs nicht empfohlen, eigene SIEM Systeme zu entwickeln oder entwickeln zu lassen. Es ist auch anzumerken, dass teure, komplexe SIEM Systeme nur bedingten Mehrwert für Schulen und KMUs bieten, da die durch das SIEM System zur Verfügung gestellten Informationen in so kleinen Netzwerken nur geringen Nutzen haben und dadurch nicht die Kosten rechtfertigen.

Downloads

Ansuchen um Zulassung zur Diplomarbeit (302 KB)
Antrag um Zulassung zur Diplomarbeit (561 KB)
Abnahmeprotokoll (472 KB)
Diplomarbeitsbuch (v2.0; Bibliotheksexemplar) (6,9 MB)
Diplomarbeitsbuch (v2.1) (6,8 MB)
Diplomarbeitsbuch (v2.2) (6,8 MB)

Datenbank-Export der unverarbeiteten Logdaten (844 MB, unkomprimiert: 11 GB; verschlüsselt*)
Datenbank-Export der verarbeiteten Logdaten (402 MB, unkomprimiert: 7,3 GB; verschlüsselt*)
Datenbank-Export der ausgewerteten Zwischenfälle (1,8 MB, unkomprimiert: 30 MB; verschlüsselt*)
Datenbank-Export der historischen DNS-Daten (818 MB, unkomprimiert: 7,2 GB; verschlüsselt*)

Git-Repository des Log-Managers (43 MB, unkomprimiert: 109 MB; verschlüsselt*)
Git-Repository des Dashboards (15 MB, unkomprimiert: 43 MB; verschlüsselt*)

* Falls Sie an den Ergebnissen des Projektes interessiert sind und sich diese selbst ansehen möchten, melden Sie sich bei contact@necronda.net um das Passwort zum Entschlüsseln zu erhalten.

Team

Lorenz Stechauner

Lorenz Stechauner

Projektleitung

Speichern & Verarbeiten der Logdaten

/lorenz-stechauner

Harald Moritz

Harald Moritz

Projektleitung-Stv.

Aufbereiten der Logdaten & Künstliche Intelligenz

Lukas Bandion

Lukas Bandion

Projektmitarbeiter

Deep Packet Inspection & Erkennen von Angriffen

/lukas-bandion-704925199

Thomas Hilscher

Thomas Hilscher

Projektmitarbeiter

Dashboard & Datenschutz

/thomas-hilscher

800 Arbeitsstunden

17. Juni 2019 – 3. April 2020

11.000.000 Log-Nachrichten

gesammelt, gespeichert, verarbeitet & ausgewertet

1.400 Codezeilen

in Python programmiert

Partner

NTS Logo - Relax we care

NTS Netzwerk Telekom Service AG