1. Start
  2. Referenzen
  3. IT Center der RWTH Aachen University

IT Center der RWTH Aachen University

Entwicklung und Implementierung einer SIEM-Lösung

Der Kunde:
Die Rheinisch-Westfälische Technische Hochschule Aachen, kurz RWTH Aachen, ist eine führende deutsche Technische Universität mit Sitz in Aachen, Nordrhein-Westfalen. Gegründet im Jahr 1870, hat die RWTH eine lange Geschichte als eine der renommiertesten technischen Hochschulen Europas. Mit einer starken Fokussierung auf Ingenieurwissenschaften, Naturwissenschaften, Wirtschaftswissenschaften und Medizin bietet die Universität eine breite Palette von Studiengängen auf Bachelor- und Masterebene an. Die RWTH Aachen zeichnet sich durch ihre herausragende Forschung und Lehre aus, insbesondere in Bereichen wie Maschinenbau, Informatik, Elektrotechnik, Chemie und Medizin. Die enge Verbindung zur Industrie und zahlreiche Kooperationen mit Unternehmen tragen zur praxisnahen Ausbildung der Studierenden bei und fördern die Entwicklung innovativer Technologien. Die Universität hat eine große und vielfältige Studentenschaft, die aus Studierenden aus der ganzen Welt besteht. Die genaue Anzahl der Studierenden kann je nach Semester variieren, liegt aber typischerweise im Bereich von über 45.000 Studierenden insgesamt. 

Herausforderung / Ziel:
Die RWTH Aachen benötigte ein Security Information and Event Management (SIEM), um Daten und Informationen aus verschiedenen Quellsystemen im Universitätsnetzwerk vordergründig auf Sicherheitsrisiken zu analysieren. 
Dabei hatte die RWTH Aachen folgende Mindestanforderungen an das System: Das einzusetzende System muss Log-Einträge, Events und Nachrichten von Quellsystemen der RWTH Aachen empfangen, verarbeiten und speichern können. Weiterhin sollten mindestens 30.000 Log-Nachrichten pro Sekunde im Tagesdurchschnitt und ein tägliches Datenvolumen von mindestens 1,0 TiB vom System verarbeitet werden können. Gleichzeitig ist von einer kurzzeitigen Spitzenlast auszugehen, die 25% über dem Durchschnitt liegt. 
Das System muss zusätzlich Netflow-Nachrichten im Umfang von mindestens 100.000 Flows pro Sekunde im Tagesdurchschnitt empfangen, verarbeiten und speichern. Hierbei ist eine kurzzeitige Spitzenlast zu berücksichtigen, die 40% über dem Durchschnitt liegt.

Umsetzung / Lösung: 
Für die Umsetzung des Projektes wurden zwei georedundante Cluster mit je fünf Servern geplant und in Betrieb genommen. Um die Kapazitäten der Server bestmöglich zu nutzen, wurden auf je vier Servern eine Logstash- und eine Elastic-Instanz und auf den je fünften Server je zwei Elastic-Instanzen installiert.
Für das Empfangen, Verarbeiten und Weiterleiten zum Indizieren der Daten wurden Logstash-Instanzen verwendet.
Auf den Quellsystemen der RWTH Aachen installierte das Projektteam einen Elastic Agent, damit ein Weiterleiten der Daten an die Logstash-Instanzen möglich ist.
Für die acht Logstash-Instanzen konnte ein Durchsatz von mindestens 96.000 Events pro Sekunde erreicht werden. Weiterhin werden mindestens 45.000 Netflow-Nachrichten pro Logstash-Instanz verarbeitet. Somit ist das komplette Cluster fähig, 360.000 Nachrichten pro Sekunde einzulesen. Dies entspricht jeweils einem Vielfachen der Mindestanforderungen an das System.
Zunächst wurden auf der Testumgebung die notwendigen Elastic-Komponenten installiert und anschließend von jeder Datenquelle eine geringe Anzahl an Server angebunden. Somit war es möglich, für die weiteren Systeme und die Produktivumgebung ein Template für die Installation der Agents auf den Quellsystemen, sowie das Datenmapping und die Indexarchitektur zu erstellen.
Nachdem das Ergebnis auf dem Testsystem für die RWTH Aachen die Erwartungen erfüllte, begann eine Auslieferung auf das Produktivsystem. Die Quellsysteme können nun direkt mit der richtigen Feldverarbeitung und ggf. Extraktion oder Anonymisierung angebunden werden. Nach einem anschließenden und umfangreichen Test können nun weitere Nutzer auf das System zugelassen werden. Die Verwaltung der Nutzer erfolgt hierbei durch die RWTH Aachen selbst mittels AD-Gruppen.

Nutzen: 
Durch die von Robotron entwickelte und implementierte SIEM-Lösung lassen sich Angriffe auf Infrastrukturen sowie kompromittierte Zugänge im Netzwerk der der RWTH Aachen leichter erkennen. Somit können frühzeitig Gegenmaßnahmen ergriffen und Schäden im Universitätsnetzwerk abgewandt werden. Dafür wurden von Robotron gemeinsam mit der RWTH Aachen Dashboards entwickelt, um Angriffe über bekannt gewordene Kennungen aufzuspüren und zu unterbinden.
Parallel zur Umsetzung wurde das Team der RWTH Aachen im Umgang mit der entwickelten SIEM-Lösung in Elastic-Schulungen weitergebildet und kann so selbstständig Anpassungen und Konfigurationen im System vornehmen.

Zurück