Avoimen lähdekoodin isäntäpohjaisten tunkeutumisenhavaitsemisjärjestelmien vertailu
Lång, Teemu (2020)
Lång, Teemu
2020
Tieto- ja sähkötekniikan kandidaattiohjelma - Degree Programme in Computing and Electrical Engineering, BSc (Tech)
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2020-06-02
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202005285782
https://urn.fi/URN:NBN:fi:tuni-202005285782
Tiivistelmä
Tunkeutumisenhavaitsemis- ja estojärjestelmän (engl. intrusion detection and prevention system) tehtävänä on havaita ja estää tietojärjestelmään kohdistuvat tapahtumat, jotka ovat tietoturvapolitiikkojen, hyväksyttävien käyttötapojen tai tietoturvakäytäntöjen vastaisia. Tällaiset luvattomat tapahtumat ovat yleensä seurausta haittaohjelmista, kyberhyökkäyksistä tai organisaation oman henkilöstön toimista. Tunkeutumisenhavaitsemisjärjestelmät jaetaan yleisesti isäntäpohjaisiin ja verkkopohjaisiin järjestelmiin. Isäntäpohjaiset järjestelmät valvovat sen isäntäkoneen tapahtumia, jolle ne on asennettu. Ne soveltuvatkin hyvin esimerkiksi kaupallisilta hosting-palveluntarjoajilta vuokratuille virtuaali- ja pilvipalvelimille. Verkkopohjaiset järjestelmät valvovat kokonaisen verkkosegmentin verkkoliikennettä käyttäen ohjelmisto- tai laitteistopohjaisia sensoreita.
Tässä työssä vertaillaan joitakin avoimeen lähdekoodiin pohjautuvia isäntäpohjaisia tunkeutumisenhavaitsemisjärjestelmiä, jotka toimivat Linux-ympäristössä. Työn tavoite on selvittää, mitä tällaisia ohjelmistoja on saatavilla ja mitä ominaisuuksia niissä on. Vertailua varten ohjelmistot asennettiin virtuaalipalvelimille. Kaikkien vertailussa mukana olevien ohjelmistojen arkkitehtuuri koostuu valvonnan suorittavasta agenttiohjelmistosta ja erillisestä keskitetystä hallintapalvelinohjelmistosta.
Työ jakaantuu kolmeen osaan. Teoriaosassa perehdytään erilaisiin tunkeutumishavaitsemisjärjestelmiin, tunkeutumisenestossa käytettyihin vastatoimiin sekä menetelmiin, joilla tunkeutumisia voidaan havaita. Vertailuosassa tarkastellaan vertailtavien isäntäpohjaisten tunkeutumisenhavaitsemisjärjestelmien asennusta ja ominaisuuksia. Viimeisessä osassa esitetään yhteenveto vertailun tuloksista.
Vertailuun valikoitui kolme työssä asetetut ehdot täyttävää ohjelmistoa: Ossec, Wazuh ja Samhain. Jokaisen vertailussa mukana olevan ohjelmiston ominaisuuksiin sisältyvät lokitapahtumien valvonta, tiedostojen eheyden valvonta, haittaohjelmien havaitseminen ja aktiivisten vastatoimien suorittaminen tunnistettujen tunkeutumisten torjumiseksi. Wazuhin ominaisuuksiin kuuluvat lisäksi muun muassa avoimen lähdekoodin selainkäyttöliittymä ja ohjelmistohaavoittuvuuksien tunnistaminen haavoittuvuustietokantoja hyödyntäen. Wazuh onkin vertailluista järjestelmistä monipuolisin sekä ominaisuuksien määrän että laadun perusteella. Ossecissa on useita samanlaisia ominaisuuksia ja yksinkertaisempi arkkitehtuuri ja asennus kuin Wazuhissa. Samhain on ominaisuuksiltaan vertailun huonoin ohjelmisto.
Tässä työssä vertaillaan joitakin avoimeen lähdekoodiin pohjautuvia isäntäpohjaisia tunkeutumisenhavaitsemisjärjestelmiä, jotka toimivat Linux-ympäristössä. Työn tavoite on selvittää, mitä tällaisia ohjelmistoja on saatavilla ja mitä ominaisuuksia niissä on. Vertailua varten ohjelmistot asennettiin virtuaalipalvelimille. Kaikkien vertailussa mukana olevien ohjelmistojen arkkitehtuuri koostuu valvonnan suorittavasta agenttiohjelmistosta ja erillisestä keskitetystä hallintapalvelinohjelmistosta.
Työ jakaantuu kolmeen osaan. Teoriaosassa perehdytään erilaisiin tunkeutumishavaitsemisjärjestelmiin, tunkeutumisenestossa käytettyihin vastatoimiin sekä menetelmiin, joilla tunkeutumisia voidaan havaita. Vertailuosassa tarkastellaan vertailtavien isäntäpohjaisten tunkeutumisenhavaitsemisjärjestelmien asennusta ja ominaisuuksia. Viimeisessä osassa esitetään yhteenveto vertailun tuloksista.
Vertailuun valikoitui kolme työssä asetetut ehdot täyttävää ohjelmistoa: Ossec, Wazuh ja Samhain. Jokaisen vertailussa mukana olevan ohjelmiston ominaisuuksiin sisältyvät lokitapahtumien valvonta, tiedostojen eheyden valvonta, haittaohjelmien havaitseminen ja aktiivisten vastatoimien suorittaminen tunnistettujen tunkeutumisten torjumiseksi. Wazuhin ominaisuuksiin kuuluvat lisäksi muun muassa avoimen lähdekoodin selainkäyttöliittymä ja ohjelmistohaavoittuvuuksien tunnistaminen haavoittuvuustietokantoja hyödyntäen. Wazuh onkin vertailluista järjestelmistä monipuolisin sekä ominaisuuksien määrän että laadun perusteella. Ossecissa on useita samanlaisia ominaisuuksia ja yksinkertaisempi arkkitehtuuri ja asennus kuin Wazuhissa. Samhain on ominaisuuksiltaan vertailun huonoin ohjelmisto.
Kokoelmat
- Kandidaatintutkielmat [8253]