Von Mai 1997 bis Dezember 1999 wurde am Lehrstuhl Rechnernetze und Kommunikationssysteme das Forschungsvorhaben "Intrusion Detection in lokalen Netzen" durchgeführt.Träger des Vorhabens war das Bundesministerium der Verteidigung (BMVg),vertreten durch das Bundesamt für Wehrtechnik und Beschaffung (BWB).Seitens des Lehrstuhls wurden die inhaltlichen Arbeiten von Michael Sobirey, Birk Richter, Falk Schmal (alle drei bis Dezember 1998), Michael Meier (seit Dezember 1998) und Thomas Holz vorgenommen.Eine kurzzeitige studentische Unterstützung erfolgte durch Gerald Wagenknecht.

An dieser Stelle ist ein wichtiger Hinweis erforderlich:

Sämtliche Ergebnisse des Forschungsvorhabens "Intrusion Detection in lokalen Netzen", also sowohl die entwickelte Software als auch die erstellten Dokumente, sind als Verschlußsachen des Geheimhaltungsgrades

"VS-NUR FÜR DEN DIENSTGEBRAUCH"

eingestuft worden.Aufgrund dieses vertraulichen Charakters ist es uns grundsätzlich nicht gestattet, konkrete Details zu veröffentlichen.

Im Weiteren finden sich folgende Informationen:

• Schwerpunkte
• Arbeitsteilung
• Ergebnisse

Aufbauend auf den Ergebnissen des vorangegangenen Projekts "AID (Adaptive Intrusion Detection system) - ein System zur Echtzeiterkennung von Angriffen in Netzen" bestanden wesentliche inhaltliche Schwerpunkte des Forschungsvorhabens in einer Weiterentwicklung von AID sowie in der anwendungsorientierten Untersuchung einer Reihe von Fragen, die sich in das thematische Umfeld der automatischen Erkennung von IT-Sicherheitsverletzungen einordnen.

Ausgangspunkt der Bemühungen war die durch den Auftraggeber vorgegebene Zielstellung, eine Audit-basierte Erkennung von IT-Sicherheitsverletzungen in lokalen Windows-NT-Netzen zu realisieren.Die Erfüllung dieser Zielstellung erforderte einerseits grundlegende Untersuchungen und zahlreiche praktische Versuche hinsichtlich der Schwachstellen und Angriffsmöglichkeiten in Windows NT, der Audit-Funktion dieses Betriebssystems und der Eignung der durch sie generierten Audit-Daten zur Erkennung sicherheitsrelevanter Vorgänge.Andererseits waren umfangreiche softwaretechnische Aufwendungen notwendig, um das bereits als Prototyp zur Überwachung lokaler Solaris-Netze existierende Intrusion-Detection-System AID um Komponenten zur Erfassung, Vorverarbeitung und Analyse von Windows-NT-Audit-Daten zu erweitern.Im Anschluß an diese Integration wurden zahlreiche Tests durchgeführt, mit deren Hilfe zu zeigen war, daß die gegebene Zielstellung erreicht wurde.

Einen breiten Raum innerhalb der vorgenommenen Arbeiten nahmen die Implementierung und der Test eines neuartigen Ansatzes zur rechnergestützten und gleichzeitig datenschutzkonformen Analyse von Audit-Daten ein.Hierbei handelt es sich um das Konzept des pseudonymen Audit.Durch diesen Ansatz können bestehende datenschutzrechtliche Bedenken bezüglich der Intrusion-Detection-Technologie weitgehend ausgeräumt werden.Da aufgrund des geltenden Datenschutzrechts beim Einsatz von IT-Systemen zur Verarbeitung personenbezogener Daten jeweils die datenschutzrechtlich unbedenklichste Aternative bevorzugt wird, ist davon auszugehen, daß das Konzept des pseudonymes Audit in Zukunft an Bedeutung gewinnt.Die praktische Umsetzbarkeit des Ansatzes in Windows-NT-Umgebungen konnte im Rahmen dieses Projekts erfolgreich nachgewiesen werden.

Weitere Arbeiten konzentrierten sich auf die Untersuchung und Weiterentwicklung von Konzepten für eine Host-orientierte Netzwerküberwachung (siehe auch Anmerkungen zum Konzept des Host-orientierten Netz-Audit), sichere Management- und Transportmechanismen im Zusammenhang mit u.a. dem teilweise erheblichen Aufkommen an Audit-Daten sowie die Realisierung automatischer Gegenmaßnahmen als Reaktion auf erkannte IT-Sicherheitsverletzungen.Hierbei wurden jeweils die Möglichkeiten und Grenzen existierender Lösungen dargestellt und Ansätze zur Überwindung bestehender Probleme aufgezeigt.

Eine besonders wichtige Aufgabe bestand in der Ableitung und Definition von architekturellen und funktionalen Anforderungen an ein Intrusion-Detection-System, das für die Überwachung größerer Netzwerke geeignet ist.Das heißt, die für lokale Windows-NT-Netze gewonnenen Resultate mussten hinsichtlich ihrer Gültigkeit für weiträumigere Netzwerke bewertet werden.Als Ergebnis dieses Arbeitsschwerpunktes wurde ein detaillierter Merkmalskatalog erarbeitet.

Im Rahmen ergänzender angriffstheoretischer Studien wurde der Versuch unternommen, Verallgemeinerungen für die Beschreibung und Erkennbarkeit sicherheitskritischer Aktivitäten in verschiedenen, weit verbreiteten Betriebssystemen zu finden.Es erfolgte die Darstellung der Möglichkeiten und Grenzen allgemeiner, plattformunabhängiger Angriffsbeschreibungen.

Zusätzliche Arbeiten befaßten sich u.a. mit Möglichkeiten der Audit-basierten Überwachung von Linux-Systemumgebungen.Des weiteren erfolgte eine grundlegende Analyse der Angreifbarkeit von Intrusion-Detection-Systemen und der sich daraus ergebenden Erfordernisse für den Selbstschutz derartiger Systeme.

Das Team zur Bearbeitung des Forschungsvorhabens umfaßte zeitweise bis zu fünf Personen.Nachfolgend ist eine kurze Auflistung der wesentlichen inhaltlichen Aufgabenbereiche der einzelnen Mitarbeiter gegeben:

• Michael Sobirey (bis Dezember 1998):
  • Projektmanagement
  • Bestandsaufnahme von AID
  • Bestandsaufnahme und weitere Konzipierung von HoNA
  • Ableitung von Anforderungen für ein großes Intrusion-Detection-System
• Birk Richter (bis Dezember 1998):
  • Bestandsaufnahme von AID
  • Bestandsaufnahme und weitere Konzipierung von HoNA
  • Penetration von Windows NT
  • Penetration von Solaris
  • Analyse der Audit-Funktion von Solaris
  • Weiterentwicklung der AID-Wissensbasis für Solaris
  • Konzipierung sicherer Management- und Transportmechanismen für AID
  • Ableitung von Anforderungen für ein großes Intrusion-Detection-System
  • Studie zu angriffstheoretischen Verallgemeinerungen
• Falk Schmal (bis Dezember 1998):
  • Penetration von Windows NT
  • Mitarbeit an der Entwicklung des AID-Monitoring-Agenten für Windows NT
• Michael Meier (seit Dezember 1998):
  • Analyse von für Intrusion Detection relevanten Bestimmungen aus dem Komplex IT-Sicherheitskriterien und Datenschutz
  • Implementierung und Test des pseudonymen Audit
  • Test von AID in einer Solaris-Umgebung
  • Untersuchung von Protokollierungsfunktionen für Linux
  • Projektmanagement
• Gerald Wagenknecht (kurzzeitig):
  • Mitarbeit am Test von AID in einer Windows-NT-Umgebung
  • Mitarbeit am Test von AID in einer Solaris-Umgebung
• Thomas Holz:
  • Analyse der Audit-Funktion von Windows NT
  • Entwicklung des AID-Monitoring-Agenten für Windows NT
  • Entwicklung der AID-Wissensbasis für Windows NT
  • Test von AID in einer Windows-NT-Umgebung
  • Konzipierung effektiver Intrusion-Response-Mechanismen für AID
  • Analyse der Angreifbarkeit und des Selbstschutzes von Intrusion-Detection-Systemen
  • Projektmanagement

Im Verlauf des Forschungsvorhabens wurden sowohl eine Reihe softwaretechnischer Arbeiten durchgeführt als auch zahlreiche begleitende Dokumente erstellt.Es entstanden ein Abschlußbericht und insgesamt 21 technische Berichte mit einem Gesamtumfang von 1.697 Seiten.

Wie bereits erwähnt, weisen sämtliche Ergebnisse einen inhaltlich vertraulichen Charakter auf.Im Folgenden werden die wichtigsten Softwarepakete sowie alle offiziellen Dokumente genannt:

Software:

• AID-Monitoring-Agent für Windows NT (komplette Neuentwicklung)
• AID-Wissensbasis für Windows NT (komplette Neuentwicklung)
• AID-Wissensbasis für Solaris (Erweiterung)
• AID-Benutzerschnittstelle (Erweiterung)
• AID-Pseudonymisierungs- und Depseudonymisierungskomponenten (nahezu komplette Neuentwicklung)

Dokumente:

Sobirey, Michael ; Richter, Birk ; Schmal, Falk ; Meier, Michael ; Wagenknecht, Gerald ; Holz, Thomas: Intrusion Detection in lokalen Netzen - Abschlußbericht. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Abschlußbericht E/I11S/X0034/Q5123 (unveröffentlicht), 259 Seiten, 2000

Richter, Birk ; Sobirey, Michael: Funktionsbeschreibung des Intrusion-Detection-Systems AID. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - I.a (unveröffentlicht), 44 Seiten, 1999

Meier, Michael ; Sobirey, Michael: AID im Kontext von Datenschutz und IT-Sicherheitskriterien. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - I.b (unveröffentlicht), 74 Seiten, 1999

Schmal, Falk ; Richter, Birk ; Sobirey, Michael: Penetration von Windows NT. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - II.a (unveröffentlicht), 55 Seiten, 1999

Holz, Thomas: Die Audit-Funktion des Betriebssystems Microsoft Windows NT. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - II.b (unveröffentlicht), 90 Seiten, 1999

Holz, Thomas: Der AID-Monitoring-Agent für Windows NT - Teil 1. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - II.d - Teil 1 (unveröffentlicht), 51 Seiten, 1999

Schmal, Falk ; Holz, Thomas: Der AID-Monitoring-Agent für Windows NT - Teil 2. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - II.d - Teil 2 (unveröffentlicht), 35 Seiten, 1999

Holz, Thomas: Die AID-Wissensbasis für Windows NT. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - II.e (unveröffentlicht), 159 Seiten, 1999

Richter, Birk ; Schmal, Falk: Modifikation der graphischen Benutzerschnittstelle von AID. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - II.f (unveröffentlicht), 35 Seiten, 1999

Meier, Michael: Realisierung des Pseudonymen Audit in einer AID-überwachten Systemumgebung. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - II.g (unveröffentlicht), 101 Seiten, 1999

Holz, Thomas ; Wagenknecht, Gerald: Test von AID in einer Windows-NT-Umgebung. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - II.h (unveröffentlicht), 134 Seiten, 1999

Meier, Michael ; Richter, Birk: Penetration von Solaris 2.x. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - III.a (unveröffentlicht), 25 Seiten, 1999

Richter, Birk: Die Auditfunktion des Betriebssystems Solaris 2.x. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - III.b (unveröffentlicht), 89 Seiten, 1999

Richter, Birk ; Sobirey, Michael ; Meier, Michael ; Holz, Thomas: Host-orientiertes Netz-Audit. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - III.c (unveröffentlicht), 34 Seiten, 1999

Meier, Michael ; Richter, Birk: Wissensbasis für Solaris. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - III.d (unveröffentlicht), 73 Seiten, 1999

Richter, Birk: Konzept eines sicheren Management- und Transportprotokolls für AID. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - III.e (unveröffentlicht), 71 Seiten, 1999

Holz, Thomas: Ein Konzept für die Erweiterung von AID um effektive Abwehrfunktionen. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - III.f (unveröffentlicht), 44 Seiten, 1999

Meier, Michael ; Wagenknecht, Gerald: Test von AID in einer Solaris-Umgebung. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - III.g (unveröffentlicht), 69 Seiten, 1999

Sobirey, Michael ; Richter, Birk: Funktionale Anforderungen an ein Intrusion Detection-System. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - IV (unveröffentlicht), 30 Seiten, 1999

Richter, Birk: Angriffstheoretische Analyse zur Korrelation heterogener Auditdaten. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - V (unveröffentlicht), 83 Seiten, 1999

Meier, Michael: Audit-Funktionen für das Betriebssystem Linux. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - VI (unveröffentlicht), 97 Seiten, 2000

Holz, Thomas: Analyse der Angreifbarkeit und des Selbstschutzes von Intrusion-Detection-Systemen. Cottbus, Brandenburgische Technische Universität, Institut für Informatik, Lehrstuhl Rechnernetze und Kommunikationssysteme, Technischer Bericht E/I11S/X0034/Q5123 - VII (unveröffentlicht), 45 Seiten, 2000