Palomuurin IDS-raportointi

Abstract

Opinnäytetyön toimeksiantajana toimi jyväskyläläinen internetoperaattori ja laitesalipalveluntarjoaja TNNet Oy. Työn toimeksiantona oli implementoida tunkeutumisen havaitsemisjärjestelmän (IDS) palomuuripalveluun sekä suunnitella ja toteuttaa tämän pohjalta raportointijärjestelmä yrityksen nykyistä palomuuri-infrastruktuuria hyödyntäen. TNNet Oy käyttää palomuurijärjestelmänään pääosin virtualisoituja pfSense palomuureja.

IDS:llä tarkoitetaan tietoliikenteen valvontaa ja analysointia siten, että siitä voidaan havaita potentiaalisia uhkia ja väärinkäytöksiä. Palomuurit taas on suunniteltu estämään jo tunnettuja, etukäteen määriteltyjä uhkia. Nämä yhdistämällä, voitaisiin toteuttaa tietoturvallisempi palomuuripalvelu. Raportointijärjestelmän ensisijainen tavoite oli sekä parantaa nykyistä palomuuripalvelua tuomalla siihen lisäksi IDS-valvonta, että estää nykyisten asiakkaiden poistumista kilpailijoiden myydessä palomuuripalveluitaan raportin siivellä.

IDS:ää voidaan toteuttaa useilla eri tavoilla ja järjestelmillä, mutta pfSenseen helposti saatavilla oleva lisäpaketti SNORT on yksi tunnetuimmista IDS-järjestelmistä ja myös helposti liitettävissä nykyiseen palomuuripalveluun. PfSense taas generoi suodattamastaan liikenteestä syslogia, jota voidaan käsitellä erilaisilla tietokantajärjestelmillä, suosituimpana esimerkiksi ELK-Stackilla.

Työn tuloksena syntyi hyvin tavoitteita palveleva järjestelmä, joka toi myös yllättävää lisäarvoa TNNEt Oy:n muulle toiminnalle ja avasi uusia palvelutuotemahdollisuuksia. Palomuuripalvelu saatiin yhdistettyä toivotusti IDS-valvontaan ja niiden toiminnasta saatiin generoitua niin asiakkaille kuin sisäisesti omalle organisaatiolle lisäarvoa tuottava raportti.

This bachelor's thesis was assigned by TNNet Oy, a Jyväskylä-based Internet service and datacenter provider. The assignment was to implement the firewall service with Intrusion Detection System (IDS) and design and engineer a reporting service based on that, using the existing firewall infrastructure of the company. TNNet Oy uses virtualized pfSenses as their essential firewall operating system.

IDS in practice functions as a means to monitor and analyze telecommunications, in a way that potential threats and abuses can be encountered, whereas firewalls are designed to prevent well-known, predetermined threats. By combining these, a more secure firewall service can be achieved. The primary goal of the reporting system was to upgrade the existing firewall service by merging it with IDS, to prevent losing already existing customers to competitors who sell their firewalls with the existence of a reporting system.

IDS could be implemented in a variety of different designs and system; however the pfSense includes an easy-to-use add-on, called SNORT, which is also one of the best-known IDS systems, and is therefore easy to implement into the existing infrastructure. PfSense generates from its filtered traffic syslog by default, which can then be handled by various database systems, most popularly with e.g. ELK-Stack.

This assignment resulted in a system that served the goal well, and brought surprising added value to TNNet Oy's other products, opening the possibility of completely new service products. The firewall service was combined with IDS control as was desired and this functionality could be produced into a reporting system, adding value to both customers and the organization.