System- und Netzwerksicherheit

Praktikum
System- und Netzwerksicherheit
Falko Dressler, Jürgen Kleinöder,
Michael Gernoth, Reinhard Tartler,
Jochen Kaiser, Tobias Limmer
[SNS], WS 2006/2007
0.1
Hintergrund
‰
Neue Forschungsprojekte an den Lehrstühlen 4 und 7
‰
‰
‰
Themen
‰
‰
‰
Förderer: Bundesamt für Sicherheit in der Informationtechnik (BSI)
Hintergund: Zukunftsfonds „Neue Impulse für Innovation und Wachstum“
der Bundesregierung
BSI Linux Security Suite (BLISS)
BSI IT Frühwarnsystem
„ Effizientes und verteiltes Monitoring, Angriffserkennung und
Ereigniskorrelation für ein IT-Frühwarnsystem (monk-it)
Idee
‰
Intensivveranstaltung um Grundlagen für Studien-/Diplomarbeiten oder
Hilfskrafttätigkeiten in den Projekten zu legen
[SNS], WS 2006/2007
0.2
Übersicht
‰
Terminplanung
‰
‰
‰
Do. 15.02. - Do. 22.02.2007
9 - 17 Uhr
Anrechenbarkeit
‰
‰
4 SWS für Verteilte Systeme und Betriebsysteme oder
Kommunikationssysteme
benoteter Schein auf Anfrage
[SNS], WS 2006/2007
0.3
IDMEF
IDMEF
(semi-) automatische
Ereigniskorrelation
Dezentrale Meldungen
(Nutzer, Virenfilter)
IDMEF
Firewallsysteme,
Wurm- und Virenfilter
[SNS], WS 2006/2007
Netzwerksensoren
Anzahl der nebenläufigen Teilsysteme
Korrelation und Aussagekraft der Daten
Modulare Architektur eines IT-Frühwarnsystems
Regelbasierte Analyse,
Anomalieerkennung
Netconf
Adaption und
Selbstkonfiguration
IPFIX/PSAMP
Netflow-Monitore,
Paket-Sniffer,
Dienstgütemessung
Adaption und
Selbstkonfiguration
0.4
Themenvorschläge Netzwerksicherheit
‰
Linux-Firewall erweitern
‰
‰
‰
Reaktive Sicherheit
‰
‰
‰
Monitoring Æ Intrusion Detection Æ Firewall
Erweiterung bestehender Werkzeuge um automatisierte dynamische
Konfigurationen
Effizientes Monitoring
‰
‰
‰
Regeln dynamisch über das Netz installieren (AAA!)
Regeln nach Timeout wieder entfernen
Vermont als Basis
Text- und Regex-Pattern direkt am Monitor
Basis für alles Projekte
‰
Betrieb und Auswertung von Honeypot Installationen
[SNS], WS 2006/2007
0.5
Themenvorschläge Systemsicherheit
‰
‰
‰
‰
‰
‰
Installation eines crypt-Filesystems und Aktivierung über Smartcard
Zertifikat/Checksumme im Binary im Rahmen von exec überprüfen
(setuid-Programme oder spezielle Capabilities nur mit gültigem
Zertifikat erlauben)
Application-Loader für untrusted Binaries (unsave-exec) – schaltet
Capabilities aus
eingeschränktes open (feingranularere Capabilities)
offene Dateien über sockets verschicken - open-Daemon statt s-bitPrivilegien
open-Daemon + revoke auf offene Dateien bzw. Rückfrage bei
Weitergabe offener Dateien
[SNS], WS 2006/2007
0.6
Kurzvorlesung Systemsicherheit
‰
Terminvorschläge (Zeitraum 25. Januar - 1. Februar)
‰
‰
‰
‰
Di. 12 - 14 oder
Do 12 - 14 oder
Do 14 - 16
2 Vorlesungen zur Einführung in das Thema Systemsicherheit
‰
‰
‰
‰
‰
‰
Capabilities, Access-Control-Listen
sichere Dateisysteme (verschlüsselt)
sicheres Login
sicheres Booten
Sicherheit an Systemschnittstellen (z. B. Probleme von FireWire)
…
[SNS], WS 2006/2007
0.7