Tunkeilijan havaitsemisjärjestelmän testaus

Abstract

Yritysten tietoverkot ja niihin kohdistuvat hyökkäykset ovat kehittyneet entistä monimutkaisemmiksi. Ratkaisuna on toteuttaa järjestelmä, jonka avulla voidaan havaita tunkeutuminen tietoverkossa ja auttaa tietomurron tutkintaa.

Insinöörityön aihe on tunkeilijan havaitsemisjärjestelmän testaus laboratorioympäristössä. Tunkeilijan havaitsemisjärjestelmää testataan todennäköisillä tunkeutumistilanteilla tietoverkkoa vastaan.

Työn tavoite oli tunkeilijan havaitsemisjärjestelmän lisääminen laboratorioympäristöön. Laboratorioympäristössä testataan järjestelmän toimivuutta ja pyritään tarkemmin analysoimaan tunkeutumisen laajuutta. Tarkoitus on helpottaa haitallisen verkkoliikenteen tutkimista lähiverkossa. Työssä näytetään tunkeutumisen havaitsemisjärjestelmän toiminta käytännössä ja pohditaan mahdollisia parannusehdotuksia järjestelmään.

Insinöörityössä tutustuttiin erilaisiin tietoliikennepakettien kaappaustapoihin. Tietoliikennepaketteja kaapataan riippuen tarkoituksesta ja toimintaympäristöstä. Tunkeilijan havaitsemisjärjestelmien toteutustavoissa on eroavaisuuksia toimintaympäristöstä riipuen. Näitä eroavaisuuksia pyritään näyttämään selvittämällä toteutustapojen etuja ja heikkouksia.

Tunkeilijan havaitsemisjärjestelmän asennus ja testaaminen suoritettiin laboratorioympäristössä. Työn lopputulosena on järjestelmä ja toimintamalli, jonka avulla voidaan havaita tunkeutuminen lähiverkkoon ja tarkemmin analysoida mahdollisen tietomurron vakavuutta. Insinöörityön pohjalta on mahdollista toteuttaa tietoturvaratkaisu jo olemassa olevaan tietoverkkoon lisäämään järjestelmän turvallisuutta. Tämän lisäksi annetaan merkittäviä parannusehdotuksia järjestelmän ylläpitoon ja tehokkaampaan käyttöön.

Corporate networks and threat models against these networks have become even more complicated than ever. A solution to this ever evolving security landscape is to implement a system which detects threats and helps incident response.

The topic of this thesis is intrusion detection system testing on a lab environment. Intrusion detection system will be tested against threats which can be considered as possible attack scenarios.

The aim of this study is to implement intrusion detection system to an existing lab network. Functionality of the intrusion detection system will be tested and a scope of the incident will be further identified and analyzed. The purpose of this study is to reduce the chance of missing security threats which could compromise critical assets. Performance of intrusion detection system is tested in practice and considerable improvements to system are discussed.

Common packet capture methods are explained in local area networks. The purpose of collecting network traffic is demonstrated depending on network environment and goals of the packet capture. Scale of implementing an intrusion detection system varies across different networks. These differences as well as pros and cons of different implementations will be covered in this study.

Installation and testing of intrusion detection system was performed in a lab environment. The end-result of this study is a system and an operating model which helps addressing and managing the aftermath of a security breach or attack. Based on this study it is possible to implement a functional security solution which significantly increases security of an existing network. Suggestions and recommendations are given in the end to enhance maintenance and efficiency of implemented intrusion detection system.