Honeypot-Server Projektantrag. BITTE angucken!

[dihegroup]

Hallo zusammen,

bitte bitte guckt mal kurz meinen Projektantrag durch da ich schon so langsam am verzweifeln bin nach dem die IHK es bereits zum zweiten mal zur Überarbeitung geschickt hat

Hier ist nun mal die überarbeitete Version, an welcher ich im Moment dran bin.

BIN FÜR JEDEN HINWEIS BZW. JEDE KRITIK DANKBAR!!!!!

Die Zeit läuft mir davon da ich den Antrag bis Mittwoch abgeben muss.

P.S.: mit der geplannten Dokumentation habe ich nicht so richtig verstanden was da genau rein soll...

1. Projektbezeichnung

Frühzeitiges Erkennen von Angreifern und der Aktivität der Schadprogramme im Netzwerk mit Hilfe eines Honeypot-Systems

1.1 Projektbeschreibung

Im lokalen Netzwerk der xxx GmbH sind mehr als 1100 Arbeitsplatzstationen und 200 Server im Betrieb. Auf jeden System ist eine aktuelle Antivirenlösung des Herstellers McAfee installiert. Trotz der Antivirenlösung kommt es immer wieder wegen Schadprogrammen zur Systemausfällen. Die Instandsetzung/Neuinstallation der Arbeitsplatzrechner und der Server nimmt sehr viel Zeit in Anspruch. In dieser Zeit können keine benötigten Dienste angeboten werden, was zur Folge hat, dass die Mitarbeitet nicht arbeiten können und es sich negativ auf den ganzen Betrieb auswirkt.

Zur Verkürzung der Reaktionszeiten bei einem Angriff oder Malware-Befall möchte die xxx GmbH Köln Angriffe auf die Server und Clients im lokalen Netzwerk mit Hilfe von Honeypot-Systemen analysieren. Man möchte wissen, von wo aus, wann und wie ein Angreifer bzw. die Schadsoftware in einem Angriffsfall vorgegangen ist um dadurch Sicherheitslücken und Schwachstellen in eigenen Systemen aufzudecken. Zu dem sollen die Ausfallzeiten verkürzt werden, in dem den Systemadministratoren die Möglichkeit gegeben wird nach den ausgewerteten Protokollen des Honeypot-Systems selbst einzugreifen. Nach Möglichkeit kann der Malware-Körper, wenn dieser eingefangen wird, zu den Antivirenherstellern zur Analyse geschickt werden um so schnell wie möglich eine passende Bekämpfungslösung zu finden.

Mit den gewonnenen Erkenntnissen sollen die Systeme sicherer gemacht und neue Sicherheitsstrategien entwickelt werden.

Der Honeypot-Server, welcher die Netzwerkdienste einer/es Arbeitsstation/Servers oder eines ganzen Rechnernetzes simulieren soll, soll in einer Testumgebung aufgesetzt und auf die Funktionalität geprüft werden.

Meine Aufgaben in diesem Projekt sind:

Zu entscheiden, welche Art der Implementierung und welcher Grad der Interaktion bei der Auswahl der Honeypotsoftware am sinnvollsten sind.

Installation eines noch auszuwählenden Betriebssystems und Honeypotsoftware.

Einbindung der 5 vorinstallierten verfügbaren Clients und eines Honeypot-Servers in ein Testnetzwerk mittels eines Switches.

Netzwerkkonfiguration so wie Konfiguration des Betriebssystems und der Honeypotsoftware.

Jeder Zugriff auf das Honeypot-System, das keine konventionellen Dienste anbietet und daher niemals angesprochen werden soll, wird als Angriff ausgewertet, protokolliert und dem Administrator gemeldet.

Überprüfung der Funktionalität des Honeypot-Servers mit dem gezielten Einsatz eines Portscanners, Sicherheitsscanner, Telnet und einer sich im Netzwerk verbreitenden Malware.

Erstellung einer projektbezogenen Dokumentation.

2. Projektumfeld

Die xxx Gruppe ist das drittgrößte unabhängige Chemie-Unternehmen der Welt und ein führender Hersteller von petrochemischen Produkten, Produkten der Spezialchemie sowie Produkten auf Rohölbasis.

xxx umfasst 19 Geschäftsbereiche und unterhält Produktionsstätten in 20 Ländern. Für xxx arbeiten ca. 16.600 Mitarbeiter, die pro Jahr über 32 Millionen Tonnen an petrochemischen Produkten herstellen und aus 20 Millionen Tonnen Rohöl pro Jahr Treibstoffe produzieren; das Gesamtverkaufsvolumen liegt bei ca. 45 Milliarden US Dollar.

xxx Köln wurde im Jahr 1957 unter dem Namen "xxx GmbH" als Joint Venture der Gesellschaften xxxy gegründet.

Das Projekt wird firmenintern in der xxx Köln GmbH durchgeführt.

Die Durchführung findet in der IT-Operations-Abteilung statt und wird vom Herrn Max Musterman (Site IT Coordinator) überwacht.

Die benötigter Hardware und die Netzwerkkomponente sind bei xxx Köln GmbH bereits vorhanden.

3. Projektphasen mit Zeitplanung in Stunden

3.1 Ermittlung des Ist-Zustandes (1 Stunden)

3.2 Erstellung des Soll-Konzepts (1,5 Stunden)

3.3 Planung der Durchführung und Evaluierung der benötigter Hard- und Software (4 Stunden)

3.4 Kosten-Nutzen-Analyse (2 Stunden)

3.5 Projektdurchführung

3.5.1 Installation einer Testumgebung (1,5 Stunden)

3.5.2 Konfiguration der Honeypot-Systeme (6 Stunden)

3.5.3 Testphase und Funktionsüberprüfung (3 Stunden)

3.5.4 Soll - / Ist - Analyse (1 Stunde)

3.6 Projektabschluss und Abnahme (3 Stunden)

3.7 Projektdokumentation (9 Stunden)

3.8 Puffer (3 Stunden)

3.9 Gesamt (35 Stunden)

4. Angaben zur geplannten Projektdokumentation

Prozessorientierter Projektbericht mit den Anlagen:

Dokumentation für die Fachabteilung.

ENDE

Und hier sind die Anmerkungen zu dem vorherigen Antrag:

Anmerkungen zum Antrag:

es wird inhaltlich leider immer noch nicht deutlich, welche Arbeiten der

Prüfling innerhalb seines Projektes nun ausübt! Beschränkt sich gegebener

Projektantrag nun auf ausschließliche Softwareinstallation oder soll hier

mehr dargestellt werden? Werden zusätzlich Konfigurationstätigkeiten

ausgeführt wie physikalische Anbindung von Netzwerkkomponenten und wie wird

qualitativ am Ende getestet ob gezeichnetes Projekt überhaupt funktional

ist??- Stellen Sie in der kurzen Projektbeschreibung Ihr Projekt

ausführlicher und präziser dar (nicht nur Aufzählung von groben Inhalten).

- Stellen Sie das Ziel bzw. den Nutzen des Projektes für das Unternehmen bzw.

den Kunden heraus.

- Stellen Sie nachvollziehbar Ihren eigenen Anteil am Projekt heraus.

- Die Angaben zur geplanten Dokumentation reichen nicht aus. Spezifizieren Sie

bitte detaillierter die Bestandteile Ihrer Projektdokumentation und

berücksichtigen Sie alle für Ihre Projektaufgabe wesentlichen

Dokumentationsbestandteile.

[Thanks-and-Goodbye]

Kurz und hart: Honeypot ist bereits eine Lösung(-stechnologie).

Wie lautet die Ausgangsfrage?

[charmanta]

Ich vermisse die Markierung der ÄNDERUNGEN zum eingereichten Antrag !

Das ist ganz wichtig, um zu sehen, was dem PA wohl gestunken hat ....

Übrigens grinse ich ein wenig, daß Admins sich nen Honypot ansehen wollen, um dann ihre Server besser zu sichern.

Dir ist schon klar, daß man einen Honeypot nicht in das lebende Netz packt ?

Du hast schonmal was von einer DMZ gehört ?

Ansonsten gilt zunächst der Kommentar von Chief.

[dihegroup]

ja, ist zwar eine Lösung doch dabei ist es fast nur ein Begriff wie z.B. Datensicherung.

Es gibt Honeypots welche nur als eine Anwendung auf einem Server laufen und dann widerrum ganze Systeme welche ein Honeypot darstellen. Dann kann man es virualisieren oder auch nicht etc.

(versuche mich zu währen )

Die Ausgangsfrage lautet: wie kann man Angriffe erkennen. Ein vergleich der Funktionsweise von IDS und Honeypots würde den Projektrahmen komplett sprengen. Zu dem ein IDS schon im Netzwerk fungiert (hat aber den Con****er leider nicht vorhersagen können...). Soll ich das eventuel im Projektantrag auch noch erwähnen?

[dihegroup]

Das ist ja der Punk, in der DMZ nüzt es recht wenig, da die meisten "Angrife" aus dem Lokalen Netz erfolgen (mitgebrachte USB-sticks oder wenn die Malware über den Internetbrowser von einem Client in das Interne Netzwerk gelangt).

[Thanks-and-Goodbye]

Derartige Probleme werden aber normalerweise durch standrechtliches Erschiessen des Users gelöst.

Ehrlich, statt das Netz dicht zu machen einen honeypot ins interne Netz zu stellen finde ich etwas *hust* seltsam.

[dihegroup]

Und hier ist der alte Antrag:

1. Projektbezeichnung

Frühzeitiges Erkennen von Angreifern und Schadprogrammen im Netzwerk mit Hilfe

von Honeypot-Systemen (Rechner bzw. Netzwerksimulation)

1.1 Projektbeschreibung

Zur Verkürzung der Reaktionszeiten bei einem Angriff oder Malware-Befall möchte die xxx GmbH Köln Angriffe auf die Server und Clients im lokalen Netzwerk mit Hilfe von Honeypot-Systemen analysieren. Man möchte wissen, von wo aus, wann und wie ein Angreifer bzw. die Schadsoftware in einem Angriffsfall vorgegangen ist um dadurch

Sicherheitslücken und Schwachstellen in eigenen Systemen aufzudecken. Mit den gewonnenen Erkenntnissen sollen die Systeme sicherer gemacht und neue Sicherheitsstrategien entwickelt werden .

Die Auswahl der Honeypotsoftware wird erst zu einem späteren Zeitpunkt durch eine

Evaluierung festgelegt.

2. Projektumfeld

Das Projekt wird firmenintern in xxx GmbH durchgeführt. In dem lokalen

Netzwerk sind mehr als 1100 Arbeitsplatzstationen (vorwiegend Windows XP Pro.)

und 200 Server im Betrieb.

Die Durchführung findet in der IT-Operations-Abteilung statt und wird vom Herrn

Max Musterman (Site IT Coordinator) überwacht.

Local Area Network mit Anbindung an das Internet so wie Hardware für Honeypot-

Systeme ist in der xxx GmbH bereits vorhanden.

3. Projektphasen mit Zeitplanung in Stunden

3.1 Ermittlung des Ist-Zustandes (1 Stunden)

3.2 Erstellung des Soll-Konzepts (1,5 Stunden)

3.3 Planung der Durchführung und Evaluierung der benötigter Hard- und Software (4

Stunden)

3.4 Kosten-Nutzen-Analyse (2 Stunden)

3.5 Projektdurchführung

3.5.1 Installation einer Testumgebung (1,5 Stunden)

3.5.2 Konfiguration der Honeypot-Systeme (6 Stunden)

3.5.3 Testphase und Funktionsüberprüfung (3 Stunden)

3.5.4 Soll - / Ist - Analyse (1 Stunde)

3.6 Projektabschluss und Abnahme (3 Stunden)

3.7 Projektdokumentation (9 Stunden)

3.8 Puffer (3 Stunden)

3.9 Gesamt (35 Stunden)

[dihegroup]

Es ist auch möglich mit einem Honeypot die Ausbreitung des Würmes wie z.B. MsBlast oder Con****er deutlich zu verlangsamen oder auch z.B. zurückzuschlagen in dem man auf jedes System, (welches verseucht ist und auf den Honeypot zugreift) welches den Honeypot angreift mit einem Script zugreift und im Falle einer Möglichkeit (z.B. upload eines Säuberungsscriptes per TFTP) die verseuchten Client zu säubern. Man kann sehen von welchem Rechner die ersten Angriffe stattgefunden haben (zeitlich auswerten). Weiter gedacht kann es auch theoretisch möglich sein wieder mit hilfe eines Scripts die Verseuchten Rechner in ein separates Vlan zu schicken bis diese gesäubert bzw. unschädlich gemacht werden?

[Thanks-and-Goodbye]

Sorry, ist das aber nicht die Aufgabe von einem IDS?

[dihegroup]

Ehrlich, statt das Netz dicht zu machen einen honeypot ins interne Netz zu stellen finde ich etwas *hust* seltsam.

Bei 1000 Clients und 200 Server ist es etwas problematisch ein Netz dicht zu machen (so ein vorgehen ist mit ennormen Kosten verbunden)

P.S.: meine Gedanken

Derartige Probleme werden aber normalerweise durch standrechtliches Erschiessen des Users gelöst.

Wie meinst du das jetzt? Als Con****er anschlug haben sich bei uns und auch bei Lufthansa z.B. (ich weiss nicht ob die Deutsche Bahn davon auch betrofen war) sämtliche AD-Server alle Konten gespert und die Antivirushersteller haben dann erst in ein Paar Tagen nachgezogen. zwar wurde das Problem später gelöst, aber die Problemlösung könnte mit Hilfe eines Honeypots viel schneller gelöst wenn gar ganz vermieden werden.

IDS und Antivierussoftware haben sich überhaupt nicht gemeldet. In einem Con****er bzw. MSBlast fall könnte es auch so weit gegangen sein, dass die Würmer die Antivirussoftware ganz unbrauchbrar machen könnten und dann hat man wikrlich ein Problem bei der Menge von Clients und Servern.

[Synapsenkoch]

??? Kapier die Logik nicht, die hinter de, Projekt stecken soll.

Ihr wollt in euer Netz Honeypots packen? Und wenn sie dann befallen sind (im Firmenlan), woll ihr den Angriff analysieren, um die Reaktionszeit zu verkürzen? Aber was für ne Reaktionszeit, das Kind ist schon in den Brunnen gefallen.

[dihegroup]

Jein. Zwar ist es schon richtig doch kann IDS nicht den Viruskörper z.B. speichern oder die Signaturen MÜSSEN ständig aktualisiert werden (wie auch die Antivierensoftwaresignaturen). IDS kann so weit ich weiss keine sonstige Handlungen als Benachrichtigung bzw. Protokollierung ausüben?

Ideal ist ein Model: IDS + Honeypots. Aber dies würde meinen 35 Stunden Projekt sprengen.

[dihegroup]

Ein Honeypot kann die Ausbreitung deutlich verlangsamen bzw. nichtig machen.

z.B. ein Link zu Honeyd aber andere Honeypotlösungen sind auch zu berüksichtigen

http://www.fp6-noah.org/events/workshop-1/provos-honeyd.pdf

Ich weiss, die Technologie ist ziemlich neu im Vergleich zu IDS obwohl so neu auch nicht.

Bearbeitet 22. Januar 2009 von dihegroup

[dihegroup]

Ich würde sehr gerne irgendwelche Kommentare zum Antrag hören Auch wenn es eventuel Inhaltlich etwas ergänzt werden soll.

BITTE !!!!!!

[Thanks-and-Goodbye]

!!!!!!

Hier folgt erstmal ein gepflegter Verweis auf meine Signatur und die Frage, welche Folgen denn sechs Ausrufezeichen haben.

Zudem möchte ich mal auf die Uhrzeit hinweisen und es doch durchaus für extrem dreist bewerten, jetzt, nach für die Uhrzeit vielen Beiträgen zum Thema, derart zu drängeln.

[dihegroup]

Ich wünsche allen eine gute Nacht und vielen Dank für heutige Posting.

Und im Vorfeld für die von Morgen.

Bearbeitet 22. Januar 2009 von dihegroup

[dihegroup]

kann denn jemand was dazu schreiben? Ob mein eigener Anteil ersichtlich ist, ob die Thematik klar ist und das wichtrigste ist ob ich jetzt die Anforderungen bzw. Anmerkungen zur Überarbeitung erfühlt habe?

[charmanta]

also ich denke, die Fragen sind beantwortet.

Aber über den SINN dieses Vorhabens zerbrech ich mir immer noch den Kopf.

Ich neige dazu, von diesem Antrag abzuraten. Das Fachgespräch könnte Dich noch mehr in Argumentationsnot bringen, als wir hier schon üben