Tunkeutumisen havaitsemisjärjestelmä Snort
Toivanen, Teemu (2016)
Toivanen, Teemu
Metropolia Ammattikorkeakoulu
2016
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201605167976
https://urn.fi/URN:NBN:fi:amk-201605167976
Tiivistelmä
Insinöörityön tavoitteena oli selvittää tapoja, joilla Sigmatic Oy:n asiakkaiden sisällönhallintajärjestelmillä toteutettujen sivujen murtoihin voitaisiin reagoida nopeammin. Tämä insinöörityö tehtiin Sigmatic Oy:lle Helsingissä vuoden 2016 keväällä.
Sigmatic Oy on tietoverkkopalveluita tarjoava yritys. Sen tuotteisiin kuuluu muun muassa webhotellit, joihin asiakkaat voivat asentaa omia kotisivujaan.
Kotisivujen ylläpitämiseen ja toteuttamiseen käytetään yleensä erilaisia sisällönhallintajärjestelmiä (esimerkiksi Wordpress). Suuren suosion ja heikon tietoturvan takia nämä sisällönhallintajärjestelmät ovat usein rikollisten tähtäimessä. Rikolliset voivat käyttää murrettuja palvelunestohyökkäyksissä ja roskapostituksessa.
Tutustuin työssäni avoimeen lähdekoodiin perustuvaan tunkeutumisen havaitsemisjärjestelmään Snorttiin.
Työssä käyn lävitse tunkeutumisen havaitsemis- ja tunkeutumisen estojärjestelmien erot. Selitän mihin toimintamalleihin kyseiset järjestelmät jaetaan ja miten järjestelmät luokittelevat hälytykset. Lisäksi kerron mitä eroa on verkkopohjaisella- ja isäntäpohjaisella järjestelmällä.
Järjestelmiin tutustumisen jälkeen kerron tarkemmin Snortista ja sen toiminnasta. Kerron yksityiskohtaisesti, miten Snort kaappaa verkkopaketin ja tunnistaa siinä olevan haitallisen toiminnan. Tämän jälkeen kerron miten Snortille luodaan sääntöjä, ja mistä nämä säännöt koostuvat. Lopuksi vielä käyn lävitse Snortin ja siihen asennettavien hyödyllisten lisäosien asennuksen itse pystyttämääni testiympäristöön.
Työn tuloksena saatiin testiympäristö, jossa voidaan kokeilla uusimpia hyökkäyksiä valvotusti. Analysoin ja tutkin hyökkäyksiä testiympäristössä. Testiympäristössä tehtyjen havaintojen perusteella voidaan luoda sääntöjä, joiden avulla voidaan havaita haitallinen toiminta tuotannossa.
Sigmatic Oy on tietoverkkopalveluita tarjoava yritys. Sen tuotteisiin kuuluu muun muassa webhotellit, joihin asiakkaat voivat asentaa omia kotisivujaan.
Kotisivujen ylläpitämiseen ja toteuttamiseen käytetään yleensä erilaisia sisällönhallintajärjestelmiä (esimerkiksi Wordpress). Suuren suosion ja heikon tietoturvan takia nämä sisällönhallintajärjestelmät ovat usein rikollisten tähtäimessä. Rikolliset voivat käyttää murrettuja palvelunestohyökkäyksissä ja roskapostituksessa.
Tutustuin työssäni avoimeen lähdekoodiin perustuvaan tunkeutumisen havaitsemisjärjestelmään Snorttiin.
Työssä käyn lävitse tunkeutumisen havaitsemis- ja tunkeutumisen estojärjestelmien erot. Selitän mihin toimintamalleihin kyseiset järjestelmät jaetaan ja miten järjestelmät luokittelevat hälytykset. Lisäksi kerron mitä eroa on verkkopohjaisella- ja isäntäpohjaisella järjestelmällä.
Järjestelmiin tutustumisen jälkeen kerron tarkemmin Snortista ja sen toiminnasta. Kerron yksityiskohtaisesti, miten Snort kaappaa verkkopaketin ja tunnistaa siinä olevan haitallisen toiminnan. Tämän jälkeen kerron miten Snortille luodaan sääntöjä, ja mistä nämä säännöt koostuvat. Lopuksi vielä käyn lävitse Snortin ja siihen asennettavien hyödyllisten lisäosien asennuksen itse pystyttämääni testiympäristöön.
Työn tuloksena saatiin testiympäristö, jossa voidaan kokeilla uusimpia hyökkäyksiä valvotusti. Analysoin ja tutkin hyökkäyksiä testiympäristössä. Testiympäristössä tehtyjen havaintojen perusteella voidaan luoda sääntöjä, joiden avulla voidaan havaita haitallinen toiminta tuotannossa.