Zum Inhalt springen

Honeypot-Server Projektantrag. BITTE angucken!


dihegroup

Empfohlene Beiträge

Hallo zusammen,

bitte bitte guckt mal kurz meinen Projektantrag durch da ich schon so langsam am verzweifeln bin nach dem die IHK es bereits zum zweiten mal zur Überarbeitung geschickt hat :(

Hier ist nun mal die überarbeitete Version, an welcher ich im Moment dran bin.

BIN FÜR JEDEN HINWEIS BZW. JEDE KRITIK DANKBAR!!!!!

Die Zeit läuft mir davon da ich den Antrag bis Mittwoch abgeben muss.

P.S.: mit der geplannten Dokumentation habe ich nicht so richtig verstanden was da genau rein soll...

1. Projektbezeichnung

Frühzeitiges Erkennen von Angreifern und der Aktivität der Schadprogramme im Netzwerk mit Hilfe eines Honeypot-Systems

1.1 Projektbeschreibung

Im lokalen Netzwerk der xxx GmbH sind mehr als 1100 Arbeitsplatzstationen und 200 Server im Betrieb. Auf jeden System ist eine aktuelle Antivirenlösung des Herstellers McAfee installiert. Trotz der Antivirenlösung kommt es immer wieder wegen Schadprogrammen zur Systemausfällen. Die Instandsetzung/Neuinstallation der Arbeitsplatzrechner und der Server nimmt sehr viel Zeit in Anspruch. In dieser Zeit können keine benötigten Dienste angeboten werden, was zur Folge hat, dass die Mitarbeitet nicht arbeiten können und es sich negativ auf den ganzen Betrieb auswirkt.

Zur Verkürzung der Reaktionszeiten bei einem Angriff oder Malware-Befall möchte die xxx GmbH Köln Angriffe auf die Server und Clients im lokalen Netzwerk mit Hilfe von Honeypot-Systemen analysieren. Man möchte wissen, von wo aus, wann und wie ein Angreifer bzw. die Schadsoftware in einem Angriffsfall vorgegangen ist um dadurch Sicherheitslücken und Schwachstellen in eigenen Systemen aufzudecken. Zu dem sollen die Ausfallzeiten verkürzt werden, in dem den Systemadministratoren die Möglichkeit gegeben wird nach den ausgewerteten Protokollen des Honeypot-Systems selbst einzugreifen. Nach Möglichkeit kann der Malware-Körper, wenn dieser eingefangen wird, zu den Antivirenherstellern zur Analyse geschickt werden um so schnell wie möglich eine passende Bekämpfungslösung zu finden.

Mit den gewonnenen Erkenntnissen sollen die Systeme sicherer gemacht und neue Sicherheitsstrategien entwickelt werden.

Der Honeypot-Server, welcher die Netzwerkdienste einer/es Arbeitsstation/Servers oder eines ganzen Rechnernetzes simulieren soll, soll in einer Testumgebung aufgesetzt und auf die Funktionalität geprüft werden.

Meine Aufgaben in diesem Projekt sind:

Zu entscheiden, welche Art der Implementierung und welcher Grad der Interaktion bei der Auswahl der Honeypotsoftware am sinnvollsten sind.

Installation eines noch auszuwählenden Betriebssystems und Honeypotsoftware.

Einbindung der 5 vorinstallierten verfügbaren Clients und eines Honeypot-Servers in ein Testnetzwerk mittels eines Switches.

Netzwerkkonfiguration so wie Konfiguration des Betriebssystems und der Honeypotsoftware.

Jeder Zugriff auf das Honeypot-System, das keine konventionellen Dienste anbietet und daher niemals angesprochen werden soll, wird als Angriff ausgewertet, protokolliert und dem Administrator gemeldet.

Überprüfung der Funktionalität des Honeypot-Servers mit dem gezielten Einsatz eines Portscanners, Sicherheitsscanner, Telnet und einer sich im Netzwerk verbreitenden Malware.

Erstellung einer projektbezogenen Dokumentation.

2. Projektumfeld

Die xxx Gruppe ist das drittgrößte unabhängige Chemie-Unternehmen der Welt und ein führender Hersteller von petrochemischen Produkten, Produkten der Spezialchemie sowie Produkten auf Rohölbasis.

xxx umfasst 19 Geschäftsbereiche und unterhält Produktionsstätten in 20 Ländern. Für xxx arbeiten ca. 16.600 Mitarbeiter, die pro Jahr über 32 Millionen Tonnen an petrochemischen Produkten herstellen und aus 20 Millionen Tonnen Rohöl pro Jahr Treibstoffe produzieren; das Gesamtverkaufsvolumen liegt bei ca. 45 Milliarden US Dollar.

xxx Köln wurde im Jahr 1957 unter dem Namen "xxx GmbH" als Joint Venture der Gesellschaften xxxy gegründet.

Das Projekt wird firmenintern in der xxx Köln GmbH durchgeführt.

Die Durchführung findet in der IT-Operations-Abteilung statt und wird vom Herrn Max Musterman (Site IT Coordinator) überwacht.

Die benötigter Hardware und die Netzwerkkomponente sind bei xxx Köln GmbH bereits vorhanden.

3. Projektphasen mit Zeitplanung in Stunden

3.1 Ermittlung des Ist-Zustandes (1 Stunden)

3.2 Erstellung des Soll-Konzepts (1,5 Stunden)

3.3 Planung der Durchführung und Evaluierung der benötigter Hard- und Software (4 Stunden)

3.4 Kosten-Nutzen-Analyse (2 Stunden)

3.5 Projektdurchführung

3.5.1 Installation einer Testumgebung (1,5 Stunden)

3.5.2 Konfiguration der Honeypot-Systeme (6 Stunden)

3.5.3 Testphase und Funktionsüberprüfung (3 Stunden)

3.5.4 Soll - / Ist - Analyse (1 Stunde)

3.6 Projektabschluss und Abnahme (3 Stunden)

3.7 Projektdokumentation (9 Stunden)

3.8 Puffer (3 Stunden)

3.9 Gesamt (35 Stunden)

4. Angaben zur geplannten Projektdokumentation

Prozessorientierter Projektbericht mit den Anlagen:

Dokumentation für die Fachabteilung.

ENDE

Und hier sind die Anmerkungen zu dem vorherigen Antrag:

Anmerkungen zum Antrag:

es wird inhaltlich leider immer noch nicht deutlich, welche Arbeiten der

Prüfling innerhalb seines Projektes nun ausübt! Beschränkt sich gegebener

Projektantrag nun auf ausschließliche Softwareinstallation oder soll hier

mehr dargestellt werden? Werden zusätzlich Konfigurationstätigkeiten

ausgeführt wie physikalische Anbindung von Netzwerkkomponenten und wie wird

qualitativ am Ende getestet ob gezeichnetes Projekt überhaupt funktional

ist??- Stellen Sie in der kurzen Projektbeschreibung Ihr Projekt

ausführlicher und präziser dar (nicht nur Aufzählung von groben Inhalten).

- Stellen Sie das Ziel bzw. den Nutzen des Projektes für das Unternehmen bzw.

den Kunden heraus.

- Stellen Sie nachvollziehbar Ihren eigenen Anteil am Projekt heraus.

- Die Angaben zur geplanten Dokumentation reichen nicht aus. Spezifizieren Sie

bitte detaillierter die Bestandteile Ihrer Projektdokumentation und

berücksichtigen Sie alle für Ihre Projektaufgabe wesentlichen

Dokumentationsbestandteile.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich vermisse die Markierung der ÄNDERUNGEN zum eingereichten Antrag !

Das ist ganz wichtig, um zu sehen, was dem PA wohl gestunken hat ....

Übrigens grinse ich ein wenig, daß Admins sich nen Honypot ansehen wollen, um dann ihre Server besser zu sichern.

Dir ist schon klar, daß man einen Honeypot nicht in das lebende Netz packt ?

Du hast schonmal was von einer DMZ gehört ?

Ansonsten gilt zunächst der Kommentar von Chief.

Link zu diesem Kommentar
Auf anderen Seiten teilen

ja, ist zwar eine Lösung doch dabei ist es fast nur ein Begriff wie z.B. Datensicherung.

Es gibt Honeypots welche nur als eine Anwendung auf einem Server laufen und dann widerrum ganze Systeme welche ein Honeypot darstellen. Dann kann man es virualisieren oder auch nicht etc.

(versuche mich zu währen :) )

Die Ausgangsfrage lautet: wie kann man Angriffe erkennen. Ein vergleich der Funktionsweise von IDS und Honeypots würde den Projektrahmen komplett sprengen. Zu dem ein IDS schon im Netzwerk fungiert (hat aber den Con****er leider nicht vorhersagen können...). Soll ich das eventuel im Projektantrag auch noch erwähnen?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Und hier ist der alte Antrag:

1. Projektbezeichnung

Frühzeitiges Erkennen von Angreifern und Schadprogrammen im Netzwerk mit Hilfe

von Honeypot-Systemen (Rechner bzw. Netzwerksimulation)

1.1 Projektbeschreibung

Zur Verkürzung der Reaktionszeiten bei einem Angriff oder Malware-Befall möchte die xxx GmbH Köln Angriffe auf die Server und Clients im lokalen Netzwerk mit Hilfe von Honeypot-Systemen analysieren. Man möchte wissen, von wo aus, wann und wie ein Angreifer bzw. die Schadsoftware in einem Angriffsfall vorgegangen ist um dadurch

Sicherheitslücken und Schwachstellen in eigenen Systemen aufzudecken. Mit den gewonnenen Erkenntnissen sollen die Systeme sicherer gemacht und neue Sicherheitsstrategien entwickelt werden .

Die Auswahl der Honeypotsoftware wird erst zu einem späteren Zeitpunkt durch eine

Evaluierung festgelegt.

2. Projektumfeld

Das Projekt wird firmenintern in xxx GmbH durchgeführt. In dem lokalen

Netzwerk sind mehr als 1100 Arbeitsplatzstationen (vorwiegend Windows XP Pro.)

und 200 Server im Betrieb.

Die Durchführung findet in der IT-Operations-Abteilung statt und wird vom Herrn

Max Musterman (Site IT Coordinator) überwacht.

Local Area Network mit Anbindung an das Internet so wie Hardware für Honeypot-

Systeme ist in der xxx GmbH bereits vorhanden.

3. Projektphasen mit Zeitplanung in Stunden

3.1 Ermittlung des Ist-Zustandes (1 Stunden)

3.2 Erstellung des Soll-Konzepts (1,5 Stunden)

3.3 Planung der Durchführung und Evaluierung der benötigter Hard- und Software (4

Stunden)

3.4 Kosten-Nutzen-Analyse (2 Stunden)

3.5 Projektdurchführung

3.5.1 Installation einer Testumgebung (1,5 Stunden)

3.5.2 Konfiguration der Honeypot-Systeme (6 Stunden)

3.5.3 Testphase und Funktionsüberprüfung (3 Stunden)

3.5.4 Soll - / Ist - Analyse (1 Stunde)

3.6 Projektabschluss und Abnahme (3 Stunden)

3.7 Projektdokumentation (9 Stunden)

3.8 Puffer (3 Stunden)

3.9 Gesamt (35 Stunden)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Es ist auch möglich mit einem Honeypot die Ausbreitung des Würmes wie z.B. MsBlast oder Con****er deutlich zu verlangsamen oder auch z.B. zurückzuschlagen in dem man auf jedes System, (welches verseucht ist und auf den Honeypot zugreift) welches den Honeypot angreift mit einem Script zugreift und im Falle einer Möglichkeit (z.B. upload eines Säuberungsscriptes per TFTP) die verseuchten Client zu säubern. Man kann sehen von welchem Rechner die ersten Angriffe stattgefunden haben (zeitlich auswerten). Weiter gedacht kann es auch theoretisch möglich sein wieder mit hilfe eines Scripts die Verseuchten Rechner in ein separates Vlan zu schicken bis diese gesäubert bzw. unschädlich gemacht werden?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ehrlich, statt das Netz dicht zu machen einen honeypot ins interne Netz zu stellen finde ich etwas *hust* seltsam.

Bei 1000 Clients und 200 Server ist es etwas problematisch ein Netz dicht zu machen (so ein vorgehen ist mit ennormen Kosten verbunden)

P.S.: meine Gedanken :)

Derartige Probleme werden aber normalerweise durch standrechtliches Erschiessen des Users gelöst.

Wie meinst du das jetzt? Als Con****er anschlug haben sich bei uns und auch bei Lufthansa z.B. (ich weiss nicht ob die Deutsche Bahn davon auch betrofen war) sämtliche AD-Server alle Konten gespert und die Antivirushersteller haben dann erst in ein Paar Tagen nachgezogen. zwar wurde das Problem später gelöst, aber die Problemlösung könnte mit Hilfe eines Honeypots viel schneller gelöst wenn gar ganz vermieden werden.

IDS und Antivierussoftware haben sich überhaupt nicht gemeldet. In einem Con****er bzw. MSBlast fall könnte es auch so weit gegangen sein, dass die Würmer die Antivirussoftware ganz unbrauchbrar machen könnten und dann hat man wikrlich ein Problem bei der Menge von Clients und Servern.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Jein. Zwar ist es schon richtig doch kann IDS nicht den Viruskörper z.B. speichern oder die Signaturen MÜSSEN ständig aktualisiert werden (wie auch die Antivierensoftwaresignaturen). IDS kann so weit ich weiss keine sonstige Handlungen als Benachrichtigung bzw. Protokollierung ausüben?

Ideal ist ein Model: IDS + Honeypots. Aber dies würde meinen 35 Stunden Projekt sprengen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ein Honeypot kann die Ausbreitung deutlich verlangsamen bzw. nichtig machen.

z.B. ein Link zu Honeyd aber andere Honeypotlösungen sind auch zu berüksichtigen

http://www.fp6-noah.org/events/workshop-1/provos-honeyd.pdf

Ich weiss, die Technologie ist ziemlich neu im Vergleich zu IDS obwohl so neu auch nicht.

Bearbeitet von dihegroup
Link zu diesem Kommentar
Auf anderen Seiten teilen

!!!!!!

Hier folgt erstmal ein gepflegter Verweis auf meine Signatur und die Frage, welche Folgen denn sechs Ausrufezeichen haben.

Zudem möchte ich mal auf die Uhrzeit hinweisen und es doch durchaus für extrem dreist bewerten, jetzt, nach für die Uhrzeit vielen Beiträgen zum Thema, derart zu drängeln.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...