NSM sensor design and implementation

Abstract

Tarve erilaisten verkon tietoturvaratkaisujen toteutuksille on kasvanut tasaisesti viimevuosina ja samaa kasvavaa trendiä on seurannut erilaiset verkkohyökkäykset maailmanlaajuisesti. Pyrkimys on ollut lisätä erillään olevien verkkojen turvallisuutta lisäämällä niiden sisäistä valvontaa. Täten tavoitteena oli toteuttaa kustannus- ja energiatehokas verkon valvontasensori, joka seuraisi ja ra-portoisi kaikesta sen valvoman verkon liikenteestä itse ylläpidettyyn pilvipalveluun. Erilaisten ole-massa olevien teknologioiden ja tekniikoiden pohjalta tehdyn alustavan tutkimuksen myötä yhden piirilevyn tietokoneesta, Orange Pi Zero 3, toteutettiin IDS laite. Laitevaatimusten ja ohjelmistojen ominaisuuksien perusteella voitiin toteuttaa palvelukokonaisuus sensorin ja pilvialustan välille. IDS palveluja, kuten Suricata ja Zeek käytettiin sensorin ohjelmistototeutuksessa. Pilveen toteutetulle virtuaalipalvelimelle asennettiin palvelut Elasticsearch, Kibana ja Nginx kontteihin, jonka lisäksi sensorin ja virtuaalipalvelimen välille toteutettiin tapahtumapohjainen hallintajärjestelmä käyttä-en Salt projektia. Samalla toteutettiin sensorin käyttöönottoa valmisteleva prosessi. Sensorin ää-rimmäistä kuormitusta ja virtuaalipalvelimella toteutettua datan analysointia testattiin. Testaus alkoi sensorin automaattisella käyttöönottoprosessilla, jonka jälkeen sensori keräsi kaiken havaitun verkkoliikenteen. Samalla verkkodataa seurattiin ja havaittiin epäilyttävää liikennettä erilaisilla virtuaalipalvelimen havaitsemismenetelmillä. Laitteen äärimmäistä kuormitusta simuloitiin verk-kohyökkäyksellä, minkä tuloksena laite menetti kerättyä dataa sen suuren määrän vuoksi. Laite kykeni kuitenkin palautumaan ja jatkamaan operointia normaalisti hyökkäyksen loputtua. Tulokse-na syntyi pieni ja helposti käyttöönotettava laite, jonka ohella toteutettiin verkon turvallisuustapah-tumien hallintapalvelu. Tämän kokonaisuuden tarkoituksena oli demonstroida kuinka potentiaali-sesti kustannus ja energiatehokkaan verkon valvontaratkaisun toteuttaminen voisi tapahtua.

The need to apply different network security solutions has been continuously increasing for the last few years and the constant volume of global cyber-attacks has been following that rising trend. The tendency was to improve safety in separate networks by increasing visibility on them. The goal was to design and implement a low-cost and low-power network sensor, that continuously collects and reports data back to a cloud server, where the data could be processed and analyzed.

A single board computer, Orange Pi Zero 3 was turned into an IDS device by first doing preliminary re-search about existing technologies and tools. Based on the hardware requirements and different soft-ware features, a service stack was implemented between the sensor and a cloud server. Intrusion detec-tion services such as Suricata and Zeek were implemented on the sensor, and services such as Elas-ticsearch Kibana and Nginx were deployed inside the cloud server within Docker containers. Event-based configuration management between sensor and cloud server was established with Salt Project and the deployment process of each sensor was created.

Extreme network load and the analysis of data was tested. The sensor was able to deploy itself and start collecting network events. The network events were shipped to the cloud server that was able to identify potential suspicious traffic. The sensor was exposed to extreme load, which resulted in partial network data loss, but the sensor did recover and keep functioning normally.

A small, easily deployable network sensor was created and deployed along with a security management solution running in the cloud server to demonstrate, how a low-cost and low-power security solution could be implemented and developed further by organizations or individuals.