Palomuurin IDS-raportointi
Lehtonen, Jari (2018)
Lehtonen, Jari
Jyväskylän ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018060111827
https://urn.fi/URN:NBN:fi:amk-2018060111827
Tiivistelmä
Opinnäytetyön toimeksiantajana toimi jyväskyläläinen internetoperaattori ja laitesalipalveluntarjoaja TNNet Oy. Työn toimeksiantona oli implementoida tunkeutumisen havaitsemisjärjestelmän (IDS) palomuuripalveluun sekä suunnitella ja toteuttaa tämän pohjalta raportointijärjestelmä yrityksen nykyistä palomuuri-infrastruktuuria hyödyntäen. TNNet Oy käyttää palomuurijärjestelmänään pääosin virtualisoituja pfSense palomuureja.
IDS:llä tarkoitetaan tietoliikenteen valvontaa ja analysointia siten, että siitä voidaan havaita potentiaalisia uhkia ja väärinkäytöksiä. Palomuurit taas on suunniteltu estämään jo tunnettuja, etukäteen määriteltyjä uhkia. Nämä yhdistämällä, voitaisiin toteuttaa tietoturvallisempi palomuuripalvelu. Raportointijärjestelmän ensisijainen tavoite oli sekä parantaa nykyistä palomuuripalvelua tuomalla siihen lisäksi IDS-valvonta, että estää nykyisten asiakkaiden poistumista kilpailijoiden myydessä palomuuripalveluitaan raportin siivellä.
IDS:ää voidaan toteuttaa useilla eri tavoilla ja järjestelmillä, mutta pfSenseen helposti saatavilla oleva lisäpaketti SNORT on yksi tunnetuimmista IDS-järjestelmistä ja myös helposti liitettävissä nykyiseen palomuuripalveluun. PfSense taas generoi suodattamastaan liikenteestä syslogia, jota voidaan käsitellä erilaisilla tietokantajärjestelmillä, suosituimpana esimerkiksi ELK-Stackilla.
Työn tuloksena syntyi hyvin tavoitteita palveleva järjestelmä, joka toi myös yllättävää lisäarvoa TNNEt Oy:n muulle toiminnalle ja avasi uusia palvelutuotemahdollisuuksia. Palomuuripalvelu saatiin yhdistettyä toivotusti IDS-valvontaan ja niiden toiminnasta saatiin generoitua niin asiakkaille kuin sisäisesti omalle organisaatiolle lisäarvoa tuottava raportti.
IDS:llä tarkoitetaan tietoliikenteen valvontaa ja analysointia siten, että siitä voidaan havaita potentiaalisia uhkia ja väärinkäytöksiä. Palomuurit taas on suunniteltu estämään jo tunnettuja, etukäteen määriteltyjä uhkia. Nämä yhdistämällä, voitaisiin toteuttaa tietoturvallisempi palomuuripalvelu. Raportointijärjestelmän ensisijainen tavoite oli sekä parantaa nykyistä palomuuripalvelua tuomalla siihen lisäksi IDS-valvonta, että estää nykyisten asiakkaiden poistumista kilpailijoiden myydessä palomuuripalveluitaan raportin siivellä.
IDS:ää voidaan toteuttaa useilla eri tavoilla ja järjestelmillä, mutta pfSenseen helposti saatavilla oleva lisäpaketti SNORT on yksi tunnetuimmista IDS-järjestelmistä ja myös helposti liitettävissä nykyiseen palomuuripalveluun. PfSense taas generoi suodattamastaan liikenteestä syslogia, jota voidaan käsitellä erilaisilla tietokantajärjestelmillä, suosituimpana esimerkiksi ELK-Stackilla.
Työn tuloksena syntyi hyvin tavoitteita palveleva järjestelmä, joka toi myös yllättävää lisäarvoa TNNEt Oy:n muulle toiminnalle ja avasi uusia palvelutuotemahdollisuuksia. Palomuuripalvelu saatiin yhdistettyä toivotusti IDS-valvontaan ja niiden toiminnasta saatiin generoitua niin asiakkaille kuin sisäisesti omalle organisaatiolle lisäarvoa tuottava raportti.