Intrusion Detection System: Neue Erkenntnisse

#0
14.07.2004, 09:23
...neu hier

Beiträge: 3
#1 Hallo Ihr Vielen Netzwerk-Gurus! ;)

Wenngleich ich Euch bei diesem ersten Posting auch "hilflos" vorkommen mag, so bin ich doch ein Mensch, der sich zu helfen weiß. Nur momentan stecke ich in einer ECHTEN richtigen Klemme, um deren Lösung ich Euren hoffnungsvollen Rat ersuche.

Dies ist die letzte Woche meiner Diplomarbeit vor Korrekturlesen, Bindung und Abgabe. Ich studiere "Informationstechnik" an der Berufsakademie in Dresden.
Leider habe ich jedoch nur meinen Theorieteil fertig, denn zu viele Fehler habe teils ich gemacht (privat sowie berufsmäßig verplant/falsch priorisiert), zudem gab es ein Insolvenzproblem mit meiner Ausbildungsfirma. Selbst meine Gutachter habe ich nur zu selten gesehen/angesprochen.
Wohl bin ich gerade der einzigste Student in Deutschland, welcher seine Arbeit ohne Zeitplan (im Geiste denke ich sehr fortschrittlich, nur die Umsetzung mangelte da in mir) durchzieht. Ich bereue viele meiner Taten diesbezüglich. Wie dem auch sei:
Mir sind diese meine Fehlverhalten größtenteils sehr bewusst, doch will ich mein bisher stets geschafftes Studium nicht kurz vor Ende verlieren müssen. Aufgeben möchte ich nun (doch) nicht! :/ :} :]

* * *

Also, worum geht es genau?
Meine Diplomarbeit handelt über das Thema "Konzeption, Einrichtung und Evaluation eines Intrusion Detection System in Firmenumgebung".

Theoretisch habe ich meinen Teil (rund 30 von benötigten 50 Seiten) geschrieben, doch die essentielle Praxis sieht derweil so aus, dass ich ein SNORT IDS auf RedHat9 Basis am Laufen habe.

Was ich UNBEDINGT benötige, sind neue Erkenntnisse, auf der sich weitere Arbeiten ausbauen lassen.
Garantiert wird bei meiner Verteidigung im September die Frage gestellt: "Welchen wissenschaftlichen Gehalt (neue innovative Ideen quasi) bietet Ihre Arbeit?"
Derzeit besitze ich nicht den Schimmer einer Antwort und das bringt mich um en Schlaf wie die Gesundheit schon seit sehr langer Zeit. Das muss sich noch diese Woche ändern. BITTE.
Selbst ein Thesenblatt (grundsätzliche Erkenntnisse meiner Arbeit) muss ich noch anfertigen.


Bitte, so frage ich Euch, nennt mir "Dinge" im Bereich "Intrusion Detection" (evtl. SNORT), welche ich einbringen bzw. über die ich noch kurz Gedanken darüber verfassen/einfließen lassen kann.

In Achtung und Respekt Eurer Mithilfe,
Seraph
Seitenanfang Seitenende
14.07.2004, 10:25
Member

Beiträge: 3306
#2 Nun um dir "Dinge" nennen zu können um deine Arbeit auszubauen bzw. fertig zu stellen müsstest du genauer beschreiben was du bisher gemacht hast. Gut du hast den Theorieteil fertig und ein Snort am laufen, aber was heißt das nun? Hast du bereits die Konzeption eines IDS fertig und brauchst jetzt noch Einrichtung und Evaluation? Weißt du wie man ein IDS einrichtet und entsprechend testet?

Gib doch am besten mal eine Gliederung mit bereits fertigen und noch zu erledigenden Punkten. Wenn du nicht weißt was deine Arbeit überhaupt für einen Mehrwert haben soll hast du allerdings ein Problem ;)
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
14.07.2004, 11:14
...neu hier

Themenstarter

Beiträge: 3
#3 Okay, asdubael:

Die Gliederung bisher:

1 Anlass und Ablauf der Arbeit 7
1.1 Motivation 7
1.2 Ziele der Arbeit 7
1.3 Aufbau 7
1.4 Überblick über das aktuelle IT-Umfeld 7
1.5 Bedrohungen für ein Computernetzwerk 7
1.6 Definition und Entwicklung der „Intrusion Detection“ 7

2 Theorethische Grundlagen - Intrusion Detection 10
2.1 Architektur 10
2.1.1 Funktionskomponenten eines Intrusion Detection Systems 10
2.1.2 E-Box (Event Generator) 11
2.1.2.1 Auditdaten 12
2.1.2.2 Rohe Netzwerkdaten 12
2.1.3 D-Box (Datensicherung) 13
2.1.4 A-Box (Event Analyse) 13
2.1.4.1 Mißbrauchserkennung 14
2.1.4.2 Anomalieerkennung 15
2.1.5 C-Box (Countermeasure Box) 17
2.1.5.1 Passive Gegenmaßnahmen 17
2.1.5.2 Aktive Gegenmaßnahmen 18
2.1.6 Verwaltungswerkzeuge 19
2.2 Klassifikation von Intrusion Detection Systemen 20
2.2.1 Scanner 20
2.2.2 Networkbased Intrusion Detection Systems 20
2.2.3 Hostbased Intrusion Detection Systems 22
2.2.4 Network Nodebased Intrusion Detection Systems 22
2.2.5 Intrusion Prevention Systems 23
2.2.6 Inline Intrusion Detection Systems 24
2.2.7 Application Intrusion Detection Systems 24
2.2.8 Honeypots 24
2.3 Rechtliche Aspekte der Intrusion Detection 25

3 Praktischer Einsatz von Intrusion Detection Systemen 27


4 Literaturliste 28
4.1 Bücher 28
4.2 Zeitschriften 28
4.3 Internetressourcen 28
5 Verzeichnis der Abbildungen 31
6 Verzeichnis der Tabellen 32



An Punkt 3 (Praxis) hänge ich.
Vorerst wollte ich einen Vergleich mit RealSecure anstellen. Doch dann könnte ich zig IDS vergleichen - nicht diplomwürdig. ;)

Von der Konzeption her: Konzeption ist zB ein Punkt für das Kapitel 3. Das kann ich (in meiner Firma) vor die Firewall hängen oder gar dahinter. Bisher nur 1 NIC im PC. Aber für Tests sollte das reichen.

Momentan steht das IDS in der Firma und hängt an einem gespiegelten Core-Switch. Ich gebe zu, nicht groß konfiguriert zu haben. Snort+Acid+mySQLund über 25000 Alarme. (Meistens SMB Zugriffe auf C$ etc)

Aber genaueres Einrichten und Testverfahren wären hilfreich zu wissen.

Mehrwert: Nun, das sei der wissenschaftliche Gehalt, den ich erwähnte.

Vielleicht helfen folgende Punkte, die mir durch den Kopf gingen und ich noch einbringen möchte:

wissenschaftlicher Gehalt !!! (Stichwort „innovativ“)
Ansatzpunkte
Ausgangspunkte für weiterführende Arbeiten
Erkenntnisse der Arbeit (evtl. auf Thesenblatt)
Schwachstellen etc. -> wo wie erweiterbar?
Betriebswirtschaftlichkeit
Abbildungen / Blockdiagramme
Kommerzprodukt „RealSecure“(?)

Alternativen zu IDS? (AVP, Cisco...)
spezifische Einsatzfälle (vor Firewall bzw. zwei NICs)
Marktübersicht
Zukunft


Und weiter geht es...
Seitenanfang Seitenende
08.09.2004, 22:28
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#4 Der neuste Hit ist das Theme Intrusion Prevention. Das findest Du im Perimeterbereich. Beispielsweise ISS hat sowas mit der Proventia M Serie im Angebot - ganz schnucklig

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
09.09.2004, 15:12
Member

Beiträge: 44
#5 ich würde mal meinen du solltest dich erstmal mit dem tuning von snort bzw. dem allgemeinen tunen von ids-systemen befassen, was nützt dir 'n ids, wenn der rechner sich totschreibt, weil er nur mehr oder weniger sinnvolle events logt ?

ich versteh auch nicht wieso man eine diplomarbeit über ein thema schreibt, mit dem man sich nicht auskennt...
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: