JA3-tunnisteiden käyttö osana IDS-järjestelmää
Laine, Juho (2019)
Laine, Juho
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201905149875
https://urn.fi/URN:NBN:fi:amk-201905149875
Tiivistelmä
Opinnäytetyön tavoitteena oli kehittää uhantunnistusta salatusta liikenteestä. Tutkimus perustuu nykyaikaisen uhantunnistusjärjestelmän tarpeisiin havaita uhat luotettavasti ja tarkasti myös salatusta liikenteestä. Tällä hetkellä uhantunnistus salatusta verkkoliikenteestä on vaikeaa ja se aiheuttaa suuren määrän vääriä hälytyksiä.
Työ perustuu JA3-teknologian tutkimiseen ja sen implementoimiseen osaksi IDS-järjestelmää. JA3-tunnisteet mahdolistavat liikenteen lähettävän ohjelman havaitsemisen kuitenkaan purkamatta tai heikentämättä salausta. Näin voidaan rakentaa järjestelmä, joka havaitsee uhat luotettavasti, mutta jonka suorituskyky ei laske merkittävästi.
Tunnisteiden käyttö helpottaa merkittävästi niin sisäisten kuin ulkoistenkin hyökkääjien havaitsemista riippumatta heidän käyttämistään työkaluista.
JA3-tunnisteet on otettu käyttöön joissain avoimen lähdekoodin IDS-järjestelmissä. Ne on helppo muodostaa mm. niiden kehittäjien tarjoamilla työkaluilla ja kun ne yhdistetään muihin tietueisiin voidaan tehdä tarkkoja johtopäätöksiä tietoliikenteen tarkoitusperästä ja näin havaita mahdolliset uhkatekijät. Eräs tärkeä ominaisuus niille on helppo jaettavuus, joka tekee niiden jakamisesta tietoturvayhteisön sisällä sujuvaa. Yhdistämällä useampia tietueita voidaan luoda tarkkoja signatuureja jotka havaitsevat taitavammatkin hyökkääjät. Opinnäytetyössä rakennettiin tällainen signatuuri ja se havaitsi annetun hyökkäysskenaarion onnistuneesti. This thesis focused on developing detecting anomalies from encrypted traffic. The research is based on modern Intrusion Detection System's the need to consistently and reliably detect threats that use encrypted traffic in communication. Traditionally detecting threats form encrypted traffic is difficult and it generates a lot of false alarms.
The thesis is based on researching JA3-technology and implementing it into an existing open source IDS. JA3-hashes, or fingerprints, make it possible to determine the application that makes the encrypted connection without weakening the encryption or decrypting it. This makes it possible to detect anomalies reliably while maintaining high-performance. Both insider threats and attackers from outside can be caught regardless of the tools they use.
JA3-technology has been implemented into some open source Intrusion Detection Systems.
The hashes are easy to form with the tools provided by the developers and in together with other available information they provide valuable information that can be used to detect evasion techniques used by the most skilled attackers. An important attribute that the hashes have is that they are easily shared within the information security community. When used in signatures with other data that is already available, it creates reliable detection with minimal false-positives.
Työ perustuu JA3-teknologian tutkimiseen ja sen implementoimiseen osaksi IDS-järjestelmää. JA3-tunnisteet mahdolistavat liikenteen lähettävän ohjelman havaitsemisen kuitenkaan purkamatta tai heikentämättä salausta. Näin voidaan rakentaa järjestelmä, joka havaitsee uhat luotettavasti, mutta jonka suorituskyky ei laske merkittävästi.
Tunnisteiden käyttö helpottaa merkittävästi niin sisäisten kuin ulkoistenkin hyökkääjien havaitsemista riippumatta heidän käyttämistään työkaluista.
JA3-tunnisteet on otettu käyttöön joissain avoimen lähdekoodin IDS-järjestelmissä. Ne on helppo muodostaa mm. niiden kehittäjien tarjoamilla työkaluilla ja kun ne yhdistetään muihin tietueisiin voidaan tehdä tarkkoja johtopäätöksiä tietoliikenteen tarkoitusperästä ja näin havaita mahdolliset uhkatekijät. Eräs tärkeä ominaisuus niille on helppo jaettavuus, joka tekee niiden jakamisesta tietoturvayhteisön sisällä sujuvaa. Yhdistämällä useampia tietueita voidaan luoda tarkkoja signatuureja jotka havaitsevat taitavammatkin hyökkääjät. Opinnäytetyössä rakennettiin tällainen signatuuri ja se havaitsi annetun hyökkäysskenaarion onnistuneesti.
The thesis is based on researching JA3-technology and implementing it into an existing open source IDS. JA3-hashes, or fingerprints, make it possible to determine the application that makes the encrypted connection without weakening the encryption or decrypting it. This makes it possible to detect anomalies reliably while maintaining high-performance. Both insider threats and attackers from outside can be caught regardless of the tools they use.
JA3-technology has been implemented into some open source Intrusion Detection Systems.
The hashes are easy to form with the tools provided by the developers and in together with other available information they provide valuable information that can be used to detect evasion techniques used by the most skilled attackers. An important attribute that the hashes have is that they are easily shared within the information security community. When used in signatures with other data that is already available, it creates reliable detection with minimal false-positives.