Evaluation von Open Source Lösungen für SIEM, NAC und IDS

Moderne Netzwerksicherheit erfordert Methoden zur Angriffserkennung und zur Steuerung von Gegenmaßnahmen. Im professionellen Umfeld werden dazu verschiedene Werkzeuge eingesetzt. Darunter sind Security Information and Event Management (SIEM) Werkzeuge, Intrusion Detection Systeme (IDS), und Network Access Control (NAC) Systeme. Viele Hersteller bieten äußerst mächtige Gesamtlösungen an, welche jedoch preislich für kleinere Firmen oder Behörden oftmals nicht in Frage kommen. Gleichzeitig gibt es auf dem Markt eine Vielzahl von kostenlosen und teils quelloffenen Einzelwerkzeugen [1, 2, 3], deren Integration in eine Gesamtlösung jedoch nicht offensichtlich ist. In dieser Thesis soll untersucht werden, wie sich ein umfassendes Sicherheitskonzept auf bestehenden Einzelwerkzeugen (z. B. OSSIM, OSSEC, SNORT, packetfence, rkhunter, etc. ) aufbauen lässt. Ebenso soll untersucht werden welche Vor- und Nachteile dieses Open Source Konzept gegenüber kommerziellen Lösungen aufweist. Im Idealfall ergibt sich daraus ein einfach umzusetzendes System, welches eine umfängliche Sicherheit für kleinere und mittlere Betriebe und Behörden bietet. Dieses System ist anschaulich darzustellen, sodass Dritte auf diese Untersuchung aufbauen können.

• Untersuchung des Funktionsumfangs bestehender kommerzieller Lösungen
• Auswahl geeigneter Open Source Lösungen
• Praktische Erprobung dieser Open Source Lösungen in einem virtuellen Testbed
• Erstellung einer Methodik zum Vergleich verschiedener komplexer Software-Lösungen
• Vergleich der Leistungsfähigkeit der verschiedenen Ansätze
• Für die öffentliche Darstellung geeignete Dokumentation der Ergebnisse

• Kenntnisse im Bereich Netzwerke
• Interesse für Netzwerksicherheit

[1] OSSIM. (online) https://cybersecurity.att.com/products/ossim

[2] OSSEC. (online) https://www.ossec.net

[3] Packetfence (online) https://www.packetfence.org