Ein generisches Intrusion Prevention System mit dynamischer Bandbreitenbeschränkung

Transkript

1 Ein generisches Intrusion Prevention System mit dynamischer Bandbreitenbeschränkung Ullrich Kresse Seminar Internet Sicherheit, Technische Universität Berlin WS 2006/2007 (Version vom 25. Januar 2007) Zusammenfassung Ausfallsicherheit und Quality of Service erlangen in modernen Netzen immer mehr an Brisanz. Einrichtungen und Personen nutzen mittlerweile die technische Infrastruktur für den Großteil ihrer Kommunikation und nehmen Dienste innerhalb der Netze vermehrt in Anspruch. Die vielen möglichen Kommunikationswege a la Telefon, und VoIP basieren heutzutage auf paketbasierten Netzen, welche beliebig heterogen sein können. Eine Frage die nunmehr im Raum steht, wie man vor allem die Sicherheit gegenüber Ausfällen gewährleisten kann. Es ist keine Selbstverständlichkeit, dass die Benutzer alle Möglichkeiten der Absicherung der eigenen Arbeitsplätze und Endgeräte mittels Virenscanner und Firewalls kennen. Die Vergangenheit hat gezeigt, dass die Gefahr für Ausfälle beispielsweise durch infizierte Hosts im Internet zu großflächigen Einschränkungen geführt und einen weltwirtschaftlichen Schaden verursacht hat. Es ist daher zwingend erforderlich, zentralisiert einzugreifen um Schaden zu vermeiden beziehungsweise zu minimieren. Um diese Aufgabe zu lösen müssen einerseits Anomalien aufgespürt werden um Vorsichtsmaßnahmen zu treffen. Dies wird durch ein Intrusion Detection/Prevention System (IDS/IPS) erreicht. Ein solches System wird im folgenden am Beispiel des Nat-O-Mat im Münchener Wissenschaftsnetz beschrieben. 1 Einleitung Mit der Zusammenlegung einzelner LAN-Segmente im Raum München wird seit geraumer Zeit das Münchner Wissenschaftsnetz (MWN) betrieben. In diesem Zusammenschluss sind in erster Linie Hochschulen und wissenschaftliche Einrichtungen vertreten. Innerhalb des Netzes werden den Benutzern zentrale Dienste und leistungsfähige Infrastruktur zur Verfügung gestellt. Das MWN zeichnet sich durch die geographisch verteilte Lage der einzelnen Subnetze aus, womit es zum Metropolitan Area Network (MAN) gewachsen ist. Der Zugang zum Netz ist den Angehörigen der zugehörigen Einrichtungen vorbehalten, wobei eine personenbezogene Akkreditierung Pflicht ist. Somit ergibt sich, dass jeder Host im System eine eigene feste IP-Adresse hat, worüber dieser eindeutig identifizierbar ist. Jeder Nutzer muss Nutzungsbedingungen akzeptieren, welche beispielsweise 1

2 die Nutzung eigens geschaffener Subnetze verbietet. Derzeit besteht das MWN aus über 60 Standorten mit mehr als 220 Gebäudekomplexen. Die Nutzerzahl beläuft sich auf Rund Personen, welche auf ca Arbeitsplatzrechner Zugriff haben. Die Verwaltung des MWN obliegt dem Leibnitz-Rechenzentrum (LRZ) [4] und wird zentralisiert vollzogen. Um die Betriebsbereitschaft des MWN zu gewährleisten, mussten Wege gefunden werden, effektiv das MWN zu warten und zu überwachen. Auf diesem Wege wurde das Nat-O-Mat als erweitertes IDS/IPS entwickelt, welches seit 2005 im Einsatz ist. Das Nat-O-Mat soll im Weiteren näher beschrieben werden. Abbildung 1: geographische Verteilung der Teilnetze 2 Merkmale einer Infektion Die zugriffsautorisierten Arbeitsplatzrechner im MWN unterliegen größtenteils der Obhut der jeweiligen Benutzer. Eine zentrale Instanz zur Kontrolle des jeweiligen Aktualisierungsgrades der verwendeten Software ist dabei nicht vorhanden. Damit obliegt es dem einzelnen Benutzer, aktuelle Sicherheitslöcher durch Patches zu schließen bzw. den Rechner vor eventueller Infektion zu schützen. Die Vergangenheit hat dabei gezeigt, dass es durch unbemerkte Infektion einzelner Systeme zu erheblichen Beeinträchtigungen der Funktionsfähigkeit des MWN gekommen ist. Die Arten einer Infektion von Computersystemen sind vielfältig und zeichnen sich durch ständige Neuerungen aus. Dabei treten Viren, Würmer und andere Arten von Software 1 auf. Viren zeichnen sich dadurch aus, dass diese sich im infizierten System verteilen und lokale Daten verändern. Die Verbreitung geht hierbei von einem infizierten und aufgerufe- 1 allgemein als Malware bezeichnet 2

3 nen Programm aus. Diese können dabei die Funktionsweise der Hardware und Software beeinträchtigen, vom Entwickler gewünschte Funktionen durchführen und unbemerkt Veränderungen vornehmen. Die Verbreitung eines Virus auf andere Rechnersysteme ist an die Verteilung von Daten gekoppelt. Solche Daten können Programmdateien, komplexe Dokumente, Programmbibliotheken etc. sein. Würmer sind im Vergleich zu Viren eigenständige Programmroutinen, welche keine infizierten Programme benötigen, diese jedoch auch nutzen können. Einmalig gestartet, nisten sich Würmer im System ein. Hierbei verbergen sie sich und versuchen, sich eigenständig im System und auf andere Systeme zu verteilen. Die Verteilung wird durch Sicherheitslücken ausgehend von Implementierungsfehler im System erleichtert und kann über -Versand, LAN-Kommunikation oder direkten Austausch von Wechselmedien vollzogen werden. Die Implementierungsfehler können sich im Betriebssystem sowie in anwenderspezifischer Software verbergen. Beispielsweise nutzt der Wurm MS Blaster eine Sicherheitslücke in der RPC-Schnittstelle 2 von Microsoft Windows, womit dieser sich über Netzwerke weiter verbreiten kann. Dieser sucht nach erfolgter Infektion im Netz nach anderen Rechnern mit gleicher Sicherheitslücke um solche zu infizieren. Andere Würmer nutzen z.b. Schwachstellen in -Clients und versenden s mit infiziertem Inhalt an Kontakte aus dem Adressbuch. Beeinträchtigung einzelner Systeme kann sich durch die Verteilung nach dem Schneeballprinzip auf ganze Netzbereiche durch eine erschöpfende Verwendung von Ressourcen auswirken. Beim Schneeballprinzip versucht der Wurm andere Systeme zu infizieren, welche wiederum den Versuch durchführen. Damit steigt das Datenaufkommen im LAN soweit, dass Netzelemente 3 an ihre Leistungsgrenzen stoßen und somit legitimer Datenverkehr ausgebremst und womöglich unterbrochen wird. Infizierte Systeme zeichnen sich in aller Regel durch ein von ihnen erhöhtes ausgehendes Datenaufkommen aus. In aller Regel steigt hier die Paketrate und die Neuverbindungsrate [2]. Des Weiteren können sowohl Viren wie auch Würmer dazu eingesetzt werden Botnetze zu etablieren. Hierbei öffnen Schadroutinen im System den Zugriff von außen und bieten somit die Möglichkeit der Fernbedienbarkeit. Die Systeme werden beispielsweise zur Versendung von Spam oder zur Durchführung von DoS-Attacken missbraucht. Spam ist dabei die massenhafte Versendung von s mit Werbeinhalt und unerwünschten Informationen. Bei DoS-Attacken wird versucht, durch den gleichzeitigen Zugriff vieler infizierter Systeme auf ein Host-System den angebotenen Dienst durch Überlastung zu stören [1]. 3 Analyseverfahren Im Datenaustausch und der damit verbundenen Fragmentierung von Daten können 2 verschiedene Verfahren betrachtet werden, um die Kommunikation und deren Ordnungsmäßigkeit zu untersuchen. Die Analyseverfahren dienen dazu, Beeinträchtigungen der Netzinfrastruktur ausgehend von einem Client zu erkennen und daraus bestimmte Restriktionen für diesen abzuleiten. Man kann dabei die Pakete als Objekt und deren Anzahl oder den Inhalt betrachten. Die Analyseverfahren stellen die Basis für das IDS dar. Je performanter und qualitativer die Verfahren arbeiten, desto wirkungsvoller können Anomalien bedingt durch Eingriffe ins System vom IDS erkannt werden. 2 Protokoll für verteilte Anwendungen 3 Router, Switch 3

4 3.1 Statistische Verfahren Paketrate-Analyse Die Untersuchungen und Erfahrungen im MWN haben ergeben, dass wenige Aussagen darüber getroffen werden können, inwiefern das Datenaufkommen ordnungsgemäß ist, ohne einen Host und dessen Verhalten im Vorfeld länger zu beobachten. Wie bei den DoS-Attacken beschrieben, werden vermehrt Pakete zu einem Host geschickt, um diesen zu überlasten. Geht von einem Host beispielsweise Spamaktivität aus, schlägt sich dies auch in einer Erhöhung der Paketrate um mehr als den Faktor 10 nieder. Bei den Paketrate-Analyse-Verfahren wird untersucht, ob ein Host von seinem normalen Verhalten abweicht. Dieses Verhalten, gemessen anhand verschiedener Parameter, wurde durch vorhergehende Untersuchung ermittelt. Die Parameter beschreiben hierbei Eigenschaften des Hosts, wie Paketrate, Neuverbindungsrate, erzeugtes Datenvolumen, Anzahl aktiver Verbindungen etc. Im MWN ergaben sich somit nach einer Eingewöhnungsphase der Infrastruktur, in der das Datenaufkommen untersucht wurde, obere Grenzwerte für bestimmte Arten von Traffic. Diese Grenzwerte sind abhängig von der Funktion des jeweiligen Hosts. Solche, die lediglich für Dienste wie und Surfen im Internet eingesetzt werden, erzeugen dabei weniger Traffic, als jene mit Diensten, auf die andere weitere Hosts zugreifen. Als Beispiel sind hier Web- und Mail-Server zu nennen, welche Dienste für eine Vielzahl von Clients anbieten und somit mehr Datenaufkommen erzeugen. Weicht ein Client von den vorher festgelegten Parametern ab, kann dies somit ein Indiz dafür sein, dass dieser durch Malware infiziert wurde. 3.2 Signaturbasierte Verfahren Bei den signaturbasierten Untersuchungsverfahren wird nunmehr nicht nur die Statistik berücksichtigt, sondern eine vollständige Paketanalyse vollzogen. Die Infektionen und das daraus resultierende Verhalten lassen sich in ihren Mustern unterscheiden. Diese Muster lassen sich als Regular Expressions definieren und beziehen sich dabei auf eine bestimmte Information in den Paketen, wie zum Beispiel die Untersuchung des Datenstroms auf bestimmte Bitmuster. Bei einem klassischen Intrusion Detection System (IDS) wird Verhalten aktiv beobachtet. Diese Beobachtungen werden mit infektionstypischen Mustern verglichen, womit sich eine Aussage treffen lässt. Wird eine Anomalie des Hosts festgestellt, können Warnungen erzeugt bzw. die Kommunikation eingeschränkt werden. Anomalien können vermehrte Verbindungsversuche zu einem oder mehreren Hosts oder die Anzahl aktiver Verbindungen in Verbindung mit bestimmten Kommunikationsprotokollen sein. Die Pakete werden bei aktuellen IDS nach dem Prinzip der stateful paket inspection (SPI) untersucht. Hierbei werden die Pakete einer aktiven Verbindung zugeordnet und analysiert. Ausgehend von der Untersuchung einzelner Pakete einer Verbindung wird anschließend eine Aussage für weitere Pakete der gleichen Verbindung getroffen ohne diese zusätzlich zu untersuchen. Als Resultat daraus, können Regeln für Firewalls erstellt werden, welche festlegen, ob Pakete verworfen oder weitergeleitet werden. Signaturbasierte Verfahren zeichnen sich dadurch aus, dass diese sehr viele Ressourcen wie Speicher und Rechenkapazität benötigen, weil der Inhalt der Pakete analysiert werden muss. Dies führt zu Paketverzögerungen, womit nur geringe Paketraten oder Bandbreiten untersucht werden können. Die Zuverlässigkeit der Verfahren ist unter anderem von verschiedenen Faktoren abhängig. Die Art und Qualität einer Signatur ist für das erfolgreiche Anwenden entscheidend, wobei die Zuverlässigkeit protokollabhängig ist. Die Auslastung des Systems steht zudem in Abhängigkeit von Art und Anzahl der aktiven Signaturen, welches Auswirkungen auf die Effizienz hat. Um eine qualitative hochwertige Analyse vorzunehmen, ist es schließlich notwendig, den vollständigen Traffic zu 4

5 betrachten. 4 Nat-O-Mat Das Nat-O-Mat stellt den Übergang des MWN zum Internet dar. Es findet seine Verwendung hierbei als generisches IDS/IPS, bei dem vorwiegend statistische Verfahren als weniger signaturbasierte Verfahren zum Einsatz kommen [10]. Als Voraussetzung für die Konfiguration des Systems wird das Verhalten der Hosts im Netz klassifiziert und Parameter auf Basis einzelner Hosts festgelegt. Als Parameter werden hierbei die Rate der Verbindungsversuche, die Anzahl der aktiven Kommunikationspartner, Paketrate und Bandbreite, die typischen Ports und Information aus der Protokollanalyse verwendet. Die Idee des Nat-O-Mat ist es, ein System zu schaffen, welches sich durch Selbstregulierung auszeichnet und somit notwendiges manuelles Eingreifen verringert. Zusätzlich dazu bietet das System ein Informationsmanagement für die Benutzer, womit diese über die Ursachen der Regulierung bei einer Sperrung benachrichtigt werden. Die Selbstregulierung wirkt sich dabei auf mögliche Einschränkungen einzelner Hosts aus, um die Betriebsfähigkeit des MWN aufrecht zu erhalten. Als zwei grundlegende Teilbereiche lässt sich das System in die Policybasierte Analyse (IDS-Funktionalität) und das Policy-Enforcement (IPS-Funktionalität) trennen. Der untersuchte Netzverkehr wird anhand festgelegter Regeln (Policies) auf Host-Basis untersucht um im Weiteren klassifiziert zu werden und bei Fehlverhalten Reaktionen durchzuführen. Policies beschreiben dabei das Soll-Verhalten der Hosts. Die Einteilung der Hosts wird in einer feinen Abstufung der Auffälligkeit durchgeführt. Die Reaktionen können bis zur Unterbindung der Kommunikation führen und sich auf IP-Adressen einzelner Hosts oder auffälligen Verbindungen und Paketen beziehen. Das System arbeitet dabei in Echtzeit auf dem zu untersuchenden Datenverkehr. Die beim Nat-O-Mat eingesetzten statistischen Verfahren beziehen sich generell auf die Paketraten, wobei im Detail Pakete, welche zu keiner TCP-Verbindung bzw. UDP-Flows gehören, klassifiziert werden. Darüber hinaus werden auch Pakete von aktiven TCP- Verbindungen und UDP-Flows untersucht. Um das Nat-O-Mat vor eventuellen DoS- Attacken zu schützen, werden verschiedene Einschränkungen bei der Analyse des Datenverkehrs von und zum Host vorgenommen. Sofern ein Host durch die statistische Untersuchung bereits auffällig geworden ist, wird die signaturbasierte Analyse nicht vorgenommen. Damit wird der zu untersuchende Traffic minimiert und es werden Daten nur einmalig geprüft. Auf diesem Weg wird sowohl Rechenkapazität und Speicherbedarf gespart und das Risiko der Überlast des Nat-O-Mat minimiert. Des Weiteren wird nach dem SPI-Prinzip der Inhalt einer Verbindung nur so weit durchleuchtet, bis eine Signatur erfolgreich erkannt wurde. Um eine Unterscheidung zwischen Bot-Netz-Kommunikation und P2P-Verbindungen treffen zu können, werden erkannte Signaturen einzeln eingeordnet. Dies ermöglicht eine Weiterverarbeitung und differenzierte Auswertung, um Kommunikation sofort zu unterbinden bzw. Bandbreite zu beschränken. Beipielsweise sind Botnetze sofort zu sperren wobei P2P-Kommunikation bis zu einer Obergrenze des Traffics erlaubt ist. Die Mächtigkeit und Flexibilität erlangt das Nat-O-Mat schließlich durch die Möglichkeit der Kombination der verschiedenen Analyseverfahren, die zu verschiedenen Policies kombiniert werden können. Detaillierte Abstufungen können wiederum durch Zusammenlegung von Policies realisiert werden. 4.1 Policy-Enforcement Die Möglichkeiten, Hosts anhand bestimmter Eigenschaften einzuschränken sind vielfältig und unterschiedlich hart in ihren Auswirkungen. So kann die Kommunikation stufen- 5

6 weise bis zu einem bestimmten Punkt beschränkt werden oder gänzlich unterbunden werden. Beim Policy-Enforcement werden alle einer Policy entsprechenden Pakete untersucht, wobei sich die Policies auf Subnetzbereiche und Zielports beziehen. Somit ergibt sich mit der Menge der Regeln eine feine Abstimmungsmöglichkeit. Das IPS, welches das Policy-Enforcement durchführt, stellt hierbei eine Erweiterung zu Firewalls dar. Es müssen nicht manuell IP- und Port-Sperrungen vorgenommen werden, da Sperrungen dynamisch durchgefhrt werden können und generell keine speziellen Anwendungen ausgeschlossen sind. Die Anwendung der Regeln wird hierbei nach dem Eskalationsprinzip vollzogen. Jeder Host hat ein Punktekonto inne, wobei die Anzahl der Verstöße dieses in einem gleitenden Zeitfenster belasten. Der Punktestand dient hierbei als Ausgangspunkt für alle Regelanwendungen, wobei zeitlich zurückliegende Verstöße unberücksichtigt bleiben. Das System zeichnet sich durch einen Automatismus aus, welcher in 4 Stufen arbeitet und keine manuellen Eingriffe benötigt. Abbildung 2: Ablaufdiagramm Einstufung des Fehlverhaltens Als schwächsten Regelverstoß ist die kurzzeitige Verletzung von Policies zu verstehen. Hierbei wird anhand einer Burst-Bedingung eine Parametertoleranz geschaffen, welche eine kurzfristige Änderung des Kommunikationsverhaltens erlaubt. Als zweite Stufe wird die Übertretung der Burst-Bedingung bis hin zum Soft-Limit gesehen. Bei Erreichen des Limits werden alle weiteren Pakete verworfen, so lang die Überschreitung der Paketrate anhält. Hiebei erhält die IP-Adresse bzw. der Host in regelmäßigen Abständen einen Strafpunkt auf sein Konto. Sobald das Punktekonto eine gewisse Höhe erreicht hat und damit das Hard-Limit verfehlt, werden alle http-requests auf eine Informationsseite umgelenkt. Alle anderen Kommunikationsversuche 4 werden gesperrt. Auf diese Weise ermöglicht man es dem Host 4 ftp, VoIP etc. 6

7 bzw. dem Benutzer, sich über die möglichen Ursachen zu informieren. Parallel zur Benutzerinformation wird dieser Vorgang protokolliert, um administrative Aufgaben zu erleichtern. Die Sperrung wird erst wieder aufgehoben, sobald das Punktekonto den jeweiligen Schwellenwert unterschreitet. Dies setzt eine Unterbrechung des verursachenden Datenverkehrs voraus. Als stärkste Stufe wird die organisatorische Eskalation gesehen. Hierbei wurde das Hard- Limit über längere Zeit nicht unterschritten und resultiert in einer persönlichen Kontaktaufnahme zum Host bzw. dessen Benutzer. Zeichnet sich ein Host durch spezielles Fehlverhalten aus, wird dieser direkt eingestuft. Bot-Netz-Kommunikation führt hierbei direkt zur dritten Eskalationsstufe. Gehen Regelverstöße von externen Hosts aus wird zwar eine Sperrung der Verbindung vorgenommen, das Informationsmanagement jedoch unterlassen. Abbildung 3: Statusreport Bandbreitenregulierung und Priorisierung Zusätzlich zum Eskalationsprinzip ist das Nat-O-Mat durch eine Regulierung der Bandbreite ergänzt. Die Regulierung kann sich hierbei auf Teilbereiche des Netzes bzw. auf einzelne Hosts beziehen. Durch eine Klassifikation der Verbindungen in Klassen mit unterschiedlichem Bandbreitenbedarf erlaubt es das System, anwendungsorientiert und mit Prioritäten zu arbeiten. Auf diese Weise wird es ermöglicht, P2P-Protokollen mit unterschiedlicher Kommunikationssignatur individuelle Bandbreite zuzuteilen. 4.2 Technische Realisierung Komponenten Das Nat-O-Mat basiert auf parallel betriebenen Rechnersystemen, wobei die Einzelsysteme als Linuxrechner realisiert sind. Auf diesen Systemen setzen weitere Softwarekomponenten auf, welche die sicherheitsrelevanten Dienste zur Verfügung stellen. X-Win- Router leiten den Datenverkehr in das Nat-O-Mat-Cluster und arbeiten dabei nach dem Heartbeat-Mechanismus [6], welcher der Performancesteigerung und Ausfallsicherheit des Systems dient. Dieser überwacht die Erreichbarkeit der Einzelsysteme und ermöglicht eine Lastverteilung. Sollte ein System ausfallen, wird die zugehörige IP-Adresse auf einen erreichbaren Server übernommen. Damit wird sichergestellt, dass trotz einzelner Ausfälle die Kommunikationsfähigkeit erhalten bleibt und Verbindungen nach Möglichkeit aufrechterhalten bleiben. Dies betrifft in erster Linie UDP-Ströme, welche durch einen Ausfall stabil bleiben und lediglich TCP-Verbindungen zurückgesetzt werden. Als eigentliche Sicherheitskomponente dient Netfilter/iptables [7]. Sie ermöglicht es, zustandsunabhängige Paketfilterung vorzunehmen und jegliche Art von Adress- und Portumsetzung durchzuführen. Damit wird das IPS des Systems realisiert. 7

8 Abbildung 4: Struktur des MWN mit Clients und Hochverfügbarkeits-Cluster Um eine signaturbasierte Analyse des Datenverkehrs vorzunehmen wird Bro als IDS- Komponente [3] eingesetzt. Es überwacht den Traffic und erkennt verdächtige Kommunikation durch den Abgleich mit bekannten Angriffsmustern. Damit wird es unter anderem ermöglicht, Bot-Net-Client-Kommunikation zu erkennen und zu unterbinden. Sofern nicht erwünschte Kommunikation festgestellt wurde, ermöglicht es Bro, sowohl Alarmnachrichten zu generieren sowie aktiv Systemkommandos auszuführen. Zur Überwachung des Nat-O-Mat und zur Erstellung detaillierter Statistiken kommt RRDTool [5] zum Einsatz. Diese Komponente kann grafische Auswertungen über Bandbreitenbedarf, Latenzzeiten, Datenvolumen und andere Netzparameter erstellen. 5 Zusammenfassung Das Nat-O-Mat trägt in seiner Funktion als generisches IDS/IPS der Betriebssicherheit des MWN bei. Es arbeitet dabei ohne größere manuelle Eingriffe und überzeugt durch die selbst regulierenden Mechanismen. Da es als redundantes System konzipiert ist, kann es als beinahe ausfallsicher gelten, wobei auch die Risiken für die eigene Verwundbarkeit gegenüber Angriffen minimiert wurden. Es stellt durch sein Informationsmanagement eine Erweiterung zu klassischen IDS/IPS dar. Mit dem Mittel der Eskalationsstufen werden die Benutzer zusätzlich auf die Fürsorge ihre Rechner sensibilisiert, was einen Großteil der Ursachen für Systemanomalien vermeidet. Als eines der Hauptprobleme dieser Infrastruktur stellt sich der überwachte Bereich dar. Es wird lediglich der Datenverkehr in und aus dem MWN überwacht und beschränkt. Es mag sein, dass trotz der wesentlich höheren Bandbreitenkapazität innerhalb des Netzes weniger Effekte eintreten können, jedoch einzelne Hosts innerhalb des MWN Schaden anrichten können und andere Host eventuell beeinflussen könnten. Dem entsprechend sollte meines Erachtens jeder Host eigene Sicherungsmaßnahmen vornehmen um das 8

9 Abbildung 5: grafische Auswertung mit RRDTools Risiko zu minimieren. Darüber hinaus ist es denkbar, die Funktionalitäten der Policy- Management und Policy-Enforcement aufzuteilen, wobei an zentraler Stelle Policies verwaltet werden und das Enforcement dezentral im MWN über die Subnetze verteilt wird. Damit wird die Sicherheit innerhalb des MWN erhöht und die Gefahr der Beeinflussung der Subnetze untereinander verringert. Literatur [1] Robert H. Deng, Feng Bao, HweeHwa Pang, Jianying Zhou: Information Security Practice and Experience; 1st International Conference, ISPEC (2005) [2] Roland Bschkes, Pavel Laskov: Detection of Intrusion and Malware & Vulnerability Assessment; 3rd International Conference, DIMVA (2006) [3] Bro Intrusion Detection System, [4] Leibniz Rechenzentrum der Bayerischen Akademie der Wissenschaften (LRZ), [5] RRDtool - Logging & Graphing, [6] The High-Availability Linux Project, [7] The netfilter.org project, [8] AV. Apostolescu, A. Läpple: Das MünchnerWissenschaftsnetz (MWN)Konzepte, Dienste, Infrastrukturen, Management.; Technical report, Leibniz-Rechenzentrum, December 2004, [9] Andrew S. Tanenbaum: Computer networks,

10 [10] Detlef Fliegl, Timo Baur, Helmut Reiser, Bernhard Schmidt: Ein generisches Intrusion Prevention System mit dynamischer Bandbreitenbeschränkung; Leibniz Rechenzentrum der Bayerischen Akademie der Wissenschaften, LRZ 10