MIN-Fakultät
Department Informatik
Sicherheit in Verteilten Systemen
UHH > MIN > Informatik > SVS > Für Studenten > Themenvorschläge Web-Mail Suche Seitenende

Hinweis:

Ein paar nützliche Tipps zum Anfertigen einer schriftlichen Prüfungsarbeit.

Themen für Bacalaureats- bzw. Diplomarbeit bzw. Master- oder Bachelor-Thesis

Immer wieder werden wir nach möglichen Themen für eine schriftliche Prüfungsarbeit gefragt. Hier haben wir eine Liste von Vorschlägen zusammengestellt. Dabei ist diese Liste jedoch unverbindlich:

Wenn Sie ein Thema suchen, dann vereinbaren Sie einen Termin per Email für die Sprechstunde von Dr. Kossakowski. Machen Sie sich darauf gefasst, dass Sie drei Fragen beantworten werden müssen, d.h. bereiten Sie entsprechend die Antworten schon mal vor:

  1. Sind Sie eher an etwas zum Programmieren interessiert, an einem Konzept oder praktischen Untersuchungen?
  2. Welche Themen (s.u.) gefallen Ihnen am besten bzw. gar nicht?
  3. Was ist für Sie spannend an der IT-Sicherheit bzw. von den Themen, die der IT-Sicherheit zuzuordnen sind?

Die im folgenden aufgelisteten Themen sind verschiedenen Bereichen zugeordnet. Dies soll die Orientierung erleichtern. Außerdem ist aufgrund der unterschiedlichen Anforderungen aufgelistet, ob es sich um eine Entwicklung, ein Konzept oder praktische Arbeiten (Tests, Vergleiche, etc.) handelt. Auch die zeitliche Einschätzung wird aufgeführt. Hierbei bitte beachten: 6 Monate spricht für eine Diplomarbeit, allerdings können solche Themen auch im Rahmen von zwei Bachelor-Arbeiten bearbeitet werden (gem. den Vorgaben des Prüfungsausschusses). Wenn bei einem Thema "3 Monate oder 6 Monate" angegeben ist, kann natürlich eine 3-monatige Arbeit nicht zu umfangreich sein wie eine 6-monatige.

Bei allen Entwicklungsteilen, die sich im Netzwerkbereich bewegen, bevorzugen wir Implementierungen auf *NIX-Basis, ebenso sind insbesondere Erweiterungen für *NIX-basierte Dienste relevant. Dies liegt an der Open-Source-Nähe, die die Arbeiten haben sollen und zum anderen in der Tatsache, dass verfügbare Softwarepakete, auf denen eigenen Arbeiten aufsetzen können, am ehesten unter *NIX verfügbar sind.

Kennzeichnungen

Die folgenden Zeichen erleichtern die Orientierung:

OK  Thema kann gewählt werden.

NO  Thema kann nicht mehr gewählt werden.

NEW  Thema ist neu hinzugekommen nach dem 15. Oktober 2009.

Themenliste

Themenbereich: Frühwarnung und Lagebild

OK PRE-01 -- Entropie von Netzwerkdaten

Die Entropie von Daten ist ein anerkanntes Merkmal, mit dem effektiv z.B. kryptographisch geschützte Daten von anderen Daten unterschieden werden können. Daher bietet es sich an, Entropie auch für Netzwerkdaten auszuwerten und hierdurch Anomalien zu erkennen, wie sie bei verschlüsselten Peer-to-Peer-Netzwerken oder verschlüsseltem Zugang zu Hintertüren vorkommen.

OK PRE-02 -- Übermittlung von Server-generierten Sicherheitsmeldungen an ein Frühwarnsystem

In vielen Frühwarnsystemen (IAS, CarmentiS) werden Ereignisse auf Netzwerkebene ausgewertet. Allerdings können auch viele Netzwerkbasierte Dienste Auskunft über Angriffe geben, z.B. die populären Passwort-Rateversuche bei SSH oder POP3, oder Versuche, nicht existierende Web-Seiten abzufragen.

NO PRE-03 -- Entwicklung eines "Honey"-Users

Da immer mehr Angriffe auf den Benutzer abzielen und über Email oder Web eingehen, ist es notwendig, das Konzept des Honeypots auf eine andere Stufe zu heben. Nachdem bereits Honeyclients entwickelt werden, bietet sich ein high-interaction Honeyuser an, bei dem das Verhalten eines Benutzers emuliert wird. D.h. ein normaler Arbeitsplatzrechner wird so programmiert, dass das Lesen von Emails, das Öffnen darin enthaltener URLs, oder auch der Besuch vorher festgelegter URLs und Weiterverfolgung einiger Links dieser Seiten routinemäßig abgearbeitet wird.

OK PRE-04 -- Netzwerkbasierte Erkennung von Betriebssystemen

Programme wie NMAP sind in der Lage, anhand der für TCP/IP-Stacks spezifischen Charakteristika Aussagen über das Betriebssystem eines Servers zu machen. Andere Programme können dies auch anhand einer gesnifften Verbindung zwischen zwei Rechnern bestimmen, allerdings mit einer größeren Ungenauigkeit.

OK PRE-05 -- Übermittlung von HONEYTRAP-Daten an ein Frühwarnsystem

HONEYTRAP ist ein Honeypot, der als Alternative zu NEPHENTES viele SMB/NETBIOS-basierte Angriffe aufzeigen kann. Die Informationen über solche Angriffe ergänzen andere Daten, die bereits heute von anderen Sensoren gewonnen werden.

OK PRE-06 -- Paketorientierte Statistikzähler für die Frühwarnung

Für die Aufzeichnung von Verkehrsdaten gibt es üblicherweise Verbindungsorientierte Formate und Programme, die diese aufzeichnen: ARGUS, NETFLOW, SOFTFLOW, etc. Nun bauen diese Programme jedoch eine Abstraktion über alle Pakete, die einer Verbindung zuzuordnen sind, auf. Hierbei werden bestimmte Details, die für die Beurteilung von Angriffen wichtig sind, durchaus "überschrieben". Beispiel sind TCP-Flags. Wenn bei den Verbindungsdaten angezeigt wird, dass das SYN-Flag gesetzt wurde, sagt dies nichts darüber aus, ob dieses Flag einmal, zweimal oder noch öfter vorhanden war. Ein anderes Detail, was untergeht, sind die je Paket übertragenen Daten. Zwar werden die Bytes ebenso wie die Pakete insgesamt gezählt, doch sagt dies nichts über die Länge des ersten Pakets gegenüber der Länge anderer Pakete aus. Aufgabe dieser Arbeit ist die Definition eines Datenmodells, in dem Daten über Verbindungen zwar immer noch stark komprimiert vorgehalten werden, aber die Details auf Paketebene - im Gegensatz zur Verbindungsebene - weiter sichtbar bleiben.

Das IAS System der FH Gelsenkirchen zählt aus den oben genannten Gründen deshalb Daten über einzelne Pakete, aber da hier wiederum andere Details - nämlich der Bezug der Pakete untereinander - verloren geht, soll ein entsprechender Kontext ergänzt werden.

OK PRE-07 -- Signalanalyse vorliegender Daten eines Frühwarnsystems

Während die Sammlung von vor allem Netzwerkbasierten Ereignissen heute zum Standard gehört, stellt die Auswertung immer noch eine große Herausforderung dar. Die Signalanalyse hat in anderen Kontexten gute Ergebnisse ergeben, daher soll mit dieser Arbeit geprüft werden, ob unter dem Gesichtspunkt einer möglichst frühen Warnung die Signalanalyse sinnvoll eingesetzt werden kann.

NEW PRE-08 -- Cloud-Systeme für die Berechnung von Frühwarnindikatoren

Auch in vielen Überwachungsszenarien kommt es zu spontanen, aber nur kurzfristigen, Anstiegen von Daten und damit verbundenen einen momentanen Bedarf nach erhöhter Analysekapazität. Typisches Beispiel ist ein Angriff, der ein mehrfaches der normalen Datenrate erzeugt (z.B. DDoS). Hier wäre es zielführend, die angepriesenen Vorteile einer Cloud zu nutzen und eben nur dann die Ressourcen in Anspruch zu nehmen. Die damit verbundenen Fragestellungen sollen untersucht werden.

Themenbereich: Sicherheitsmanagement

OK SEC-01 -- Unterstützung des OCTAVE Security Assessment durch eine elektronische Fassung der Unterlagen

Mit OCTAVE, einem Verfahren des CERT/CC, kann eine Organisation selbst seinen Sicherheitsstatus ermitteln (Security Assessment). Dazu gibt es einen Prozess mit dafür ausgelegten Hilfsmitteln, größtenteils Tabellen und Checklisten, die ein Team der Organisation ausfüllen muss. Da die Überprüfung des Sicherheitsstatusses die Grundlage eines kontinuierlichen Sicherheitsmanagements bildet, müssen diese Unterlagen immer wieder aktualisiert werden. Es würde sich also anbieten, eine elektronische Version zu pflegen, die zugleich den Workflow der Analyse unterstützt.

OK SEC-02 -- CERT-Service in ITIL-Strukturen

ITIL ist ein in immer mehr Unternehmen umgesetztes Framework für den operativen Betrieb. Daher ist es nicht überraschend, wenn auch sicherheitsrelevante Dienstleistungen in dieses Framework integriert werden. Nunmehr kommt es im Zusammenhang mit dem etablierten Konzept der CERTs zu interessanten Fragestellungen: Wie kann ein CERT in ITIL integriert werden? Braucht ein Unternehmen mit ITIL noch ein CERT? etc.

OK SEC-03 -- Erkennung von Covert / Sublimal Channel bei Targeted Attacks

Bei den sogenannten Targeted Attacks werden - gezielt auf einzelne Benutzerinnen oder Benutzer - Trojaner auf deren Rechner eingeschleust. Diese Trojaner sammeln Daten und Dateien, müssen diese aber irgendwohin übertragen, damit der Angriff erfolgreich ist. Während heutzutage diese Kommunikation als Email-Versand oder Web-Zugriff getarnt wird, kann gerade hierdurch auch ein Trojaner identifiziert werden. Die Sorge der Sicherheitsexperten ist nunmehr, dass weniger offensichtliche Informationskanäle - sogenannte Covert oder Sublimal Channel - genutzt werden.

NO SEC-04 -- Sicherheitsanalyse von TOR

TOR kann helfen, bestimmte Sicherheitsanforderungen bei der Internet-Nutzung zu erfüllen. Allerdings bleiben bestimmte Risiken bestehen, und durch die Nutzung kann es neue Sicherheitsrisiken geben. Durch eine Analyse soll klargestellt werden, was TOR an Sicherheit bietet - und was nicht.

NO SEC-05 -- Effektives IT-Sicherheitslagebild für kleine und mittlere Unternehmen

Auf nationaler Ebene wird ein tagesaktuelle Lagebild bzgl. der IT-Sicherheit immer wichtiger. Nun stellt sich die Frage, wie die Schnittstelle zwischen dem operativen Sicherheitsmanagement in einem kleinen - oder mittleren - Unternehmen zum Management aussehen muss. D.h. wie können die Details eines aussagekräftigen Reportings aussehen.

NEW SEC-06 -- Covert Channel innerhalb von Netzwerken

Ausgehend von einem Bedrohungsszenario, bei der eine aktive Netzwerkkomponenten Paketinhalte analysiert und ausgewählte Daten an einen fremden Rechner im Internet übermittelt, soll die Problematik eines solchen Covert Channels in einem Produktionsnetzwerk untersucht werden. Ziel ist es, Ansätze für eine Modellierung einer solchen aktiven Netzwerkkomponente zu finden, so dass in weiteren Arbeiten mit der Implementierung von geeigneten Messkomponenten begonnen werden kann.

NEW SEC-07 -- Unsicherheit von virtualisierten Systemen

Virtualisierung von Servern erfreut sich - zurecht wegen Einspareffekten - zunehmender Beliebtheit. Jedoch gilt, was bei der IT-Sicherheit immer gilt, eine unzureichende Segregation senkt die Sicherheit. Die grundlegende Fragestellung: "Kann Virtualisierung überhaupt sicher sein?" soll untersucht werden, um möglichen Anwendern einen besseren Zugang zu den möglicherweise entscheidenden Abwägungen zu geben, die die richtige Antwort im konkreten Fall weisen.

NEW SEC-08 -- Vertrauliches Arbeiten in der Cloud

Eine Diplomarbeit, die die Sicherheitsanforderungen für Cloud-Anwender untersucht hat, stellt klar heraus, dass dem Cloud-Dienstleister bei allen nicht trivialen Anwendungen (reine Speicherung einmal ausgenommen) weitreichende mögliche Zugriffe auf - vertrauliche - Daten gegeben wird. Es gibt jedoch in der Theorie Ansätze, auch mit "verschlüsselten" Daten zu rechnen und somit einen Zugriff auch während der Bearbeitung zu verwehren. Der Stand der Technik hierzu soll aufbereitet werden.

Themenbereich: Praktische Netzwerksicherheit

OK NEW-01 -- Network Intrusion Detection System

Aufbau eines netzwerk-basierten IDS in einer auf die Lehre ausgerichteten Umgebung. In Frage kommen SNORT oder BRO.

OK NEW-02 -- Network Monitoring System

Aufbau eines Network Monitoring Systems in einer auf Lehre ausgerichteten Umgebung. In Frage kommen SOFTFLOW oder ARGUS.

OK NEW-03 -- Zentraler Log-Server für *NIX- und WIN* -Systeme

Aufbau eines zentralisierten Log-Servers für die Aufzeichnung von Ereignismeldungen, die von WIN*- oder *NIX-Systeme stammen. Der Server soll auf einem *NIX-System laufen.

OK NEW-04 -- Nagios-Überwachung kritischer Prozesse

Aufbau eines zentralisierten Überwachungsprozesses auf Basis von NAGIOS.

OK NEW-05 -- Benutzeroberfläche für die Anzeige des Sicherheitsstatusses

Aufbau einer grafischen JAVA- oder Web-basierten Anwendung zur Anzeige des Sicherheitsstatusses zentral verfügbarer Informationen der durch NEW-* aufgebauten Systeme.

Themenbereich: Verschiedenes

NO VER-01 -- Sicherheit beim Anschluss von USB-Devices

Im Rahmen einer vorherigen Diplomarbeit wurden die Unsicherheiten beim Anschluss von USB-Devices drastisch dargestellt. Nunmehr soll auf Basis der vorliegenden Analyse untersucht werden, welche Sicherheitsmaßnahmen wirksam eingesetzt werden können.

OK VER-02 -- Intrusion Detection für SOA

In Service-orientierten Architekturen (SOA) werden quasi flächendeckend Verschlüsselung und digitale Signatur eingesetzt. Nunmehr können netzwerk-basierte IDS-Systeme nicht mehr die Angriffe erkennen, die innerhalb des aus Kryptographie geschaffenen "Tunnels" übertragen werden. Da durchaus bösartige Clienten berücksichtigt werden müssen, besteht jedoch ein Bedarf für IDS als aktive Erkennungsverfahren auch bei SOA.

NO VER-03 -- Ist DNSsec fit für den Einsatz?

Die Angreifbarkeit des Domain Name System (DNS) ist eine Achillesferse des Internets. Mit SecDNS wurde eine Erweiterung der uralten RFCs geschaffen, die die DNS-Informationen schützen können. Es ist jedoch nicht klar, welche DNS-Angriffe damit wirksam bekämpft werden können, insbesondere wenn SecDNS nicht flächendeckend zum Einsatz gebracht wird. In diesem Zusammenhang ist auch die Benutzerschnittstelle relevant, da bisher bei Legacy-Anwendungen keine Möglichkeit besteht, neue Fehlerzustände - z.B. Erkennung eines gefälschten DNS-Eintrags - demBenutzer zu signalisieren.

OK VER-04 -- Flugschreiber für Arbeitsplatzrechner

Bei der Untersuchung von Flugzeugunglücken hat sich ein Flugschreiber als hilfreiches Werkzeug herausgestellt. Zwar gibt es viele Konzepte und Lösungen für die zentrale Erfassung von besonderen Ereignissen, aber dies ist wenig hilfreich, wenn nicht konsequent unter dem Gesichtspunkt einer forensischen Aufklärung der zum Absturz / zur Löschung führenden Umstände die zum Einen minimalen, aber zum Anderen auch notwendigen Daten vorgehalten werden. Und dies so, dass ein Angreifer keine Manipulationen daran vornehmen kann.

NO VER-05 -- Angriffssicherheit von WS-Security

Bei SOA kommt dem WS-Security eine hohe Bedeutung zu. Insbesondere die Kommunikationssicherheit wurde ausführlich berücksichtigt. Offen bleibt allerdings, wie es mit der Angriffssicherheit generell aussieht, d.h. welche Restrisiken zu berücksichtigen sind und welche Angriffsszenarien trotz WS-Security zu berücksichtigen sind.

OK VER-06 -- Systems of Systems

Das Internet ist ein typisches Beispiel für ein (neues) Gesamt-System, das aus sehr vielen einzelnen Einzel-Systemen zusammengesetzt ist. Während es viele Erkenntnisse über die Sicherheit eines bereits komplexen Einzel-Systems wie ein Arbeitsplatzrechner oder ein Server gibt und auch die Netzwerkarchitektur mit Firewalls etc. für die sichere Internet-Anbindung ein bekanntes Feld ist, gibt es kaum Erkenntnisse darüber, wie aus Einzel-Systemen mit mehr oder weniger guter Sicherheit ein sicheres Gesamt-System zusammengebaut werden kann. Die derzeitigen Erkenntnisse, die für die Sicherheit von Systems-of-Systems relevant sind, sollen durch diese Arbeit zusammengetragen und geordnet werden.

OK VER-07 -- Risikoanalyse von TWITTER

TWITTER ist ein heiß diskutierter und oft frequentierter Dienst, der sich zu einer für bestimmte Kreise (Medien!) unerläßliche Informationsquelle entwickelt hat. Die Sicherheit des Dienstes, aber auch seiner Anwendung, ist sicher kontrovers zu diskutieren. Die Arbeit soll ausgehend von einer Risikoanalyse aus Sicht eines typischen Nutzers die Sicherheitsanforderungen einerseits und die Bedrohungen andererseits herausarbeiten.

NEW VER-08 -- Sicherheit bei Robotern

Unsicherheit bei Robotern hat heute sehr viel mit Arbeitsplatzsicherheit zu tun. Aber sobald Roboter mit ihren vielfältigen Sensoren in unserem Umfeld tätig sind, stellen sich interessante Fragestellungen: Darf der Roboter zuhören? Wer hört das noch? Da fängt es natürlich nur an, und deshalb soll sich mit einer initialen Arbeit zu dieser Thematik dem Gesamtproblem genähert werden.

NEW VER-09 -- Sicherheit von SCTP

Das Stream Control Transmission Protocol, von der IETF als RFC 4960 im September 2007 erneut vorgelegt, hat im Gegensatz zu UDP und TCP viele Vorteile bei weniger Angriffsmöglichkeiten. Die Arbeit soll untersuchen, ob ein grundlegender Wechsel zu SCTP empfohlen werden kann.