![[PRINT]](/_images/printer1.png)
Konsolidierung und Erweiterung der Ausnahme- und Sperrlisten
Hintergrund der Arbeit:
Das Leibniz-Rechenzentrum (LRZ) ist Betreiber des Münchner Wissenschaftsnetzes (MWN) und betreibt daher auch den zentralen Übergang vom MWN zum Internet. An das MWN sind neben den Universitäten und deren Lehrstühle auch diverse Studentenwohnheime und Wireless-LAN-Netze angeschlossen. Durch diese sehr offene Infrastruktur kann nicht ausgeschlossen werden, dass kompromittierte oder virenverseuchte Systeme ans MWN angeschlossen sind. Nach Außen ist das LRZ jedoch als Betreiber erster Ansprechpartner im Falle eines Missbrauches.
Um die Anzahl der Beschwerdefälle von Extern so gering wie möglich zu halten, wird an verschiedenen Stellen versucht, auffällige Systeme zu erkennen und missbräuchliche Nutzung zu unterbinden, indem das betroffene System gesperrt wird. Wenn sich herausstellt, dass das System wieder gesäubert wurde, kann eine Entsperrung erfolgen. Weiterhin gibt es so genannte Ausnahmelisten für Systeme, die nicht gesperrt werden sollen, wie beispielsweise bekannt Mailserver, bei denen es normal ist, wenn diese Mails verschicken oder Gatewaysysteme, deren Sperrung weitreichende Folgen hätte.
Ziel der Arbeit:
Zum jetzigen Zeitpunkt werden die Ausnahme- und Sperrlisten der verschiedenen Sicherheitssysteme an verschiedenen Speicherorten gepflegt. Um einen konsistenten Zugriff auf diese Listen zu haben, sollen diese verschiedenen Listen zu einer globalen Liste konsolidiert werden, die gegebenenfalls mit den verschiedenen Listen automatisiert in Echtzeit synchronisiert wird, falls dies nötig erscheint. In jedem Fall müssen die neuen Listen mit den bisherigen Sicherheitskomponenten zusammenarbeiten können. Dafür soll ein Webfrontend entwickelt werden, das die gewünschte Übersicht, aber auch eine Konfigurationsmöglichkeit, wie beispielsweise das Ein- und Austragen neuer Adressen, der Listen ermöglicht. Eine zwingende Voraussetzung für die Erstellung der neuen Listen ist die Fähigkeit, dass die vorhandenen Sicherheitstools automatisiert und skriptgesteuert Einträge der Listen hinzufügen, modifizieren oder löschen können.
Weiterhin sollen die jetzigen Listen funktional erweitert werden. So ist beispielsweise bisher bei der Sperr- und Ausnahmeliste nicht vorgesehen, dass Einträge "herausaltern", Sperrungen und Ausnahmen sollen zukünftig nicht nur adressbasiert sondern auch portbasiert einstellbar sein und Sperrungen sollen trotz eingetragener Ausnahmeliste möglich sein. Dies soll ebenfalls implementiert werden.
Weiterhin soll untersucht werden, wie Systeme, die hinter Gatewayrechnern stehen, ebenfalls gesperrt werden können. Im Moment werden Gateway-Rechner in einer Ausnahmeliste geführt, so dass kompromittierte Systeme hinter diesen Gatewaysystemen nicht geblockt werden können. Jedoch ist es unter Umständen möglich, anhand der verwendeten Portnummern eine Sperrung durchzuführen. Dabei sollte aber bedacht werden, dass es bei der Entsperrung möglich sein sollte, mit einer Sperrung zusammenhängende Portbereiche wieder zu entsperren, falls ein System sich vom Gateway mehrere Ports zugeteilt bekommt.
Aufgabensteller:
Priv. Doz. Dr. W. Hommel
Anforderungen:
Linux; Perl
Dauer des FoPras/SEPs bzw. der Bachelorarbeit: 3 Monate
Anzahl Bearbeiter: 1
Betreuer: