PJ Intelligente Sicherheitsanwendungen
Modul: | Intelligente Sicherheit in Netzwerken (MINF-KS-InSiN) |
Semester: | Sommersemester 2012 |
Art: | PJ (4 SWS / 6 LP) |
LV-Nr.: | 0435 L 772 |
Veranstalter: | Bsufka |
Ort und Zeit: | Di. 10 - 12, ab 17.04., TEL 1315 |
---
Diese Veranstaltung wird online mit ISIS durchgeführt Bitte melden Sie sich dort an!
---
Infos zur Anmeldung, zum Einloggen finden sich hier.
Beschreibung
IT Infrastrukturen sind Bedrohungen aus dem Internet und von Insidern ausgesetzt. Mechanismen zum Schutz vor diesen Bedrohungen fokussieren sich dabei auf präventive Maßnahmen wie Firewalls oder Virenscanner. Diese Systeme können jedoch keinen 100% Schutz liefern, früher oder später versagen präventive Maßnahmen und ein Angriff wird erfolgreich sein.
- Angriffsvorbereitung: Angreifer erkunden ihr Zielsystem und breiten den eigentlichen Angriff vor.
- Während eines Angriffs: Teile eines mehrstufigen Angriffes wurden bereits erfolgreich durchgeführt bzw. das eigentliche Angriffsziel wurde bereits erreicht und eine unberechtigte Nutzung ist im Gange.
- Untersuchung eines Angriffs: Ein Angriff wurde erfolgreich durchgeführt und abgeschlossen. Es muss ermittelt werden wie der Angriff möglich war, welcher Schaden entstanden ist und woher der Angriff kam.
Für alle diese Phasen und der damit verbunden Aufgaben, existieren bereits Anwendungen und Vorgehensmodelle. Im Projekt werden wir uns mit automatisierten Verfahren in diesem Bereich beschäftigen, insbesondere mit Verfahren die Methoden der Künstlichen Intelligenz einsetzen. Die dabei anfallenden Aufgaben werden zum Teil in einem Test-Labor und zu einem Teil in einer Simulationsumgebung durchgeführt.
Aufgabenbeschreibung
Angreifer scannen öffentliche zugängliche Web-Server eines Herstellers nach einer bisher unveröffentlichten Schwachstelle. Die Ausnutzung erlaubt es Angreifern im Intranet eines Unternehmens nach Rechnern mit einem bestimmten Betriebssystem zu suchen und dort eine weitere unbekannte Schwachstelle auszunutzen. Sie nutzen diese, um einen Trojaner auf dem betroffenen System zu installieren. Der Trojaner verfolgt dabei mehrere Aufgaben:
- Er fungiert als Bot in einem Bot-Netzwerk und kann entweder zum Versenden von SPAM-Nachrichten oder für einen DDoS-Angriff genutzt werden. Die Auswahl und Steuerung erfolgt durch Kommunikation mit einem Bot-Netz Command & Control Server.
- Er beinhaltet Wurm-Funktionalitäten um sich im internen Netz zu verbreiten und weitere Systeme aufzuspüren auf denen Bots installiert werden können.
Zielsysteme verfügen über Firewalls, die nur Web und E-Mail Datenverkehr zwischen internen Netzen und dem Internet zu lassen und über signaturbasierte Intrusion Detection Systeme, die in der Lage sind Pakete zu verwerfen und IP-Adressen bzw. Adressbereiche zu blocken.
Die Aufgaben im Projekt beinhalten die folgenden Aspekte (konkrete Aufgaben und Schwerpunkte richten sie nach Anzahl und Interessen der Teilnehmer):
- Modellierung einer Simulation mit NeSSi2, die es ermöglicht den oben beschrieben Angriff zu simulieren.
- Die Entwicklung von Verfahren zur Erkennung von:
- Infizierten Web-Servern
- Infizierten Rechnern
- Wurmausbreitung
- DDoS Angriff (Ziel und Quelle)
- SPAM Versand (ohne Deep-Packet Inspection)
- Bot-Netz Topologie
- Bot-Netz Command & Control
- Die Verteilung von Signaturen und das Blocken von Angriffen durch signaturbasierte IDS in der Simulation.
- Ermittlung einer lokalen Netzwerk-Topologie und Sammlung von Daten zur Rekonstruktion/Dokumentation von Bot-Aktivitäten.
Copyright TU Berlin 2007