Nimi: Diplomityön aihe: Network Based Intrusion Detection in Corporate Network Valvoja: Prof. Seppo J. Halme Ohjaaja: DI Leo Lähteenmäki
Sisällysluettelo Johdanto Hyökkäystekniikat ja työkalut Tunkeutumisen havaitseminen Implementointi Yhteenveto
Johdanto TCP/IP teknologian kehitys aloitettiin 1960- luvulla Tietotuva ei ollut tuolloin ongelma Nykyisin joudutaan lisäämään tietoturvaa parantavia komponentteja
Perinteiset suojausmetodit Palomuurit Ei suojaa hyökkäyksiltä sisäverkosta Eritasoiset käyttäjätunnistukset Etäyhteydet Applikaatio taso
Hyökkäystekniikat ja työkalut Tiedon kerääminen kohteesta ICMP (broadcast ICMP, ym.) Skannerit (Nmap, Nessus ym.) Verkon kuuntelu, Sniffing Social Engineering ym.
Mapping Host Icmp echo to addresses 192.168.1.255 and 192.168.1.0 (broadcasts) Network 192.168.1.0 Netmask 255.255.255.0 Broadcast 192.168.1.255 ICMP Echo replys to the scanners IP address
Hyökkäystekniikat ja työkalut Tiedon kerääminen kohteesta ICMP (broadcast ICMP, ym.) Skannerit (Nmap, Nessus ym.) Verkon kuuntelu, Sniffing Social Engineering ym.
Hyökkäystekniikat ja työkalut Verkkoon tunkeutuminen Ohjelmistovirheet Esim. Code Red, TSIG bug Salasanojen kuuntelu
Hyökkäystekniikat ja työkalut Hyökkääjan jatkotoimenpiteet Troijalainen hevonen Esim. Back Orifice, Netbus
Tunkeutumisen havaitseminen Työasemapohjainen, Host based Sensori jokaisella valvottavalla koneella Verkkopohjainen, Network based Verkkoliikenteen monitorointi
Tunkeutumisen havaitseminen Misuse Detection Tunnetaan epäilyttävä liikenne Fingerprints Anomaly Detection Tunnetaan normaali liikenne Connection profiles
Policy Default Permit Signature-based misuse detection Dynamic Signaturebased misuse detection Default Deny Specification-based anomaly detection Profile-based anomaly detection Static Dynamic Knowledge
Tunkeutumisen havaitseminen Datan käsittely Liikenteen kerääminen Ongelmia Datan määrä Kytkentäiset lähiverkot Datamäärän vähentäminen Raakadata > TCP/IP Headerit > Yhteydet
Implementointi Politiikat ja toimintaohjeet Hyökkäykseen reagointi Kommunikointi Tiedon kerääminen ja suojaaminen Tiedon analysoiminen Hyökkääjän eristäminen Mitä opittiin? Koulutus
Implementointi Computer Security Incident Response Team (CSIRT) Missio Palvelut Resurssit
Yhteenveto Teknisesti vaikea asia False positives/false negatives Vaaditaan paljon tietoa verkosta, palvelimista ym.
Yhteenveto Yritysverkossa tärkeää huomioida Riittävät resurssit Politiikat ja toimintaohjeet Asentaminen paljon helpompaa kuin ylläpito
Kysymyksiä? Kiitos!