Tunkeutumisen havaitsemisjärjestelmän asennus yrityksen sisäverkkoon : case: Security Onion
Hellberg, Samuli (2019)
Hellberg, Samuli
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201905149882
https://urn.fi/URN:NBN:fi:amk-201905149882
Tiivistelmä
Opinnäytetyön tavoitteena oli tutustua, suunnitella ja asentaa yrityksen sisäverkkoon tunkeilijan havaitsemisjärjestelmä verkon monitorointia varten. Ilman verkon monitorointia ei voida olla varmoja yrityksen tietoturvasta. Tälläkin hetkellä yrityksen verkossa voi olla tunkeilija, eikä yrityksellä itsellään ole siitä tietoa ilman monitorointia. Verkon monitoroinnilla tunkeutumiset voidaan huomata ajoissa ja tehdä tarvittavat toimenpiteet.
Tunkeilijan havaitsemisjärjestelmä analysoi verkossa kulkevaa liikennettä ja laukaisee hälytyksen sääntöjen vastaista liikennettä huomatessaan. Järjestelmäksi valittiin Security Onion, joka käyttää verkkopohjaisena havaitsemisjärjestelmänä Snortia ja tallentaa verkkoliikenteen lokeihin Elastic Stackin avulla. Lokien avulla pystytään tarkkailemaan verkon käyttäytymistä ja analysoimaan hälytyksiin liittyvää liikennettä tarkemmin.
Tunkeilijan havaitsemisjärjestelmän havaitsemismetodit jakautuvat allekirjoituksiin ja poikkeavuuksiin perustuvaan havaitsemiseen. Allekirjoituksiin perustuva havaitseminen vertaa monitoroituja paketteja tiedossa olevaan haitallisen liikenteen tietokantaan. Poikkeavuuksiin perustuva havaitseminen on metodi, jossa verrataan verkkoliikenteen käyttäytymistä ja sisältöä normaaliin verkon käyttäytymiseen.
Työssä testattiin kaikki järjestelmään kuuluvat komponentit ja sisäverkossa toimivat kytkimet. Sisäverkossa olevien kytkimien todettiin toimivan testien avulla eri tavalla kuin oletettiin. Kaikki järjestelmään ja kytkimiin tehdyt testit saatiin tehtyä, ja niillä saatiin varmistettua Security Onionin toiminta. Kytkinten testauksista saatujen tulosten avulla ja asennussuunnitelmaan tehtyjen muutosten ansiosta järjestelmän asennus onnistui ongelmitta. Vaikka järjestelmä saatiin asennettua sisäverkkoon, se ei ole valmis. Järjestelmä vaatii jatkuvaa hälytysten seurantaa ja sääntöjen muokkaamista.
The aim of this thesis was to plan and install intrusion detection system to company’s network to monitor behavior of the network. Without monitoring the network, company cannot be sure that their network is safe. With intrusion detection system company can detect intruders and react to them quickly and accordingly.
Intrusion detection system analyses network traffic and creates alerts when it notices traffic that is against the system’s rules. Security Onion was chosen as intrusion detection system. Security Onion combines network intrusion detection system with Snort and network traffic logging with Elastic Stack. With the logs from Elastic Stack we can analyze traffic that is related to the alerts.
Detection methods for intrusion detection system are divided into signature-based and anomaly-based detection. Signature-based detection compares monitored packets to known malicious traffic. Anomaly-based detection compares behavior of network to normal behavior of the same network.
This thesis concentrates on installation of the system and tests that were made on the system itself and switches that operate in the network. With the results from testing switches’ port mirroring we made a few changes to the installation plan. With the changes the installation was successful without any problems. Although the installation of the detection system was done, work does not stop here. System needs someone to actively monitor the alerts and rules must be customized to fit the environment.
Tunkeilijan havaitsemisjärjestelmä analysoi verkossa kulkevaa liikennettä ja laukaisee hälytyksen sääntöjen vastaista liikennettä huomatessaan. Järjestelmäksi valittiin Security Onion, joka käyttää verkkopohjaisena havaitsemisjärjestelmänä Snortia ja tallentaa verkkoliikenteen lokeihin Elastic Stackin avulla. Lokien avulla pystytään tarkkailemaan verkon käyttäytymistä ja analysoimaan hälytyksiin liittyvää liikennettä tarkemmin.
Tunkeilijan havaitsemisjärjestelmän havaitsemismetodit jakautuvat allekirjoituksiin ja poikkeavuuksiin perustuvaan havaitsemiseen. Allekirjoituksiin perustuva havaitseminen vertaa monitoroituja paketteja tiedossa olevaan haitallisen liikenteen tietokantaan. Poikkeavuuksiin perustuva havaitseminen on metodi, jossa verrataan verkkoliikenteen käyttäytymistä ja sisältöä normaaliin verkon käyttäytymiseen.
Työssä testattiin kaikki järjestelmään kuuluvat komponentit ja sisäverkossa toimivat kytkimet. Sisäverkossa olevien kytkimien todettiin toimivan testien avulla eri tavalla kuin oletettiin. Kaikki järjestelmään ja kytkimiin tehdyt testit saatiin tehtyä, ja niillä saatiin varmistettua Security Onionin toiminta. Kytkinten testauksista saatujen tulosten avulla ja asennussuunnitelmaan tehtyjen muutosten ansiosta järjestelmän asennus onnistui ongelmitta. Vaikka järjestelmä saatiin asennettua sisäverkkoon, se ei ole valmis. Järjestelmä vaatii jatkuvaa hälytysten seurantaa ja sääntöjen muokkaamista.
The aim of this thesis was to plan and install intrusion detection system to company’s network to monitor behavior of the network. Without monitoring the network, company cannot be sure that their network is safe. With intrusion detection system company can detect intruders and react to them quickly and accordingly.
Intrusion detection system analyses network traffic and creates alerts when it notices traffic that is against the system’s rules. Security Onion was chosen as intrusion detection system. Security Onion combines network intrusion detection system with Snort and network traffic logging with Elastic Stack. With the logs from Elastic Stack we can analyze traffic that is related to the alerts.
Detection methods for intrusion detection system are divided into signature-based and anomaly-based detection. Signature-based detection compares monitored packets to known malicious traffic. Anomaly-based detection compares behavior of network to normal behavior of the same network.
This thesis concentrates on installation of the system and tests that were made on the system itself and switches that operate in the network. With the results from testing switches’ port mirroring we made a few changes to the installation plan. With the changes the installation was successful without any problems. Although the installation of the detection system was done, work does not stop here. System needs someone to actively monitor the alerts and rules must be customized to fit the environment.