!" "! $ %
& % ' ())* + ),
#
Abstrakt Tato práce se zabývá systémy detekce pr nik . Rozd luje tyto systémy do kategorií a popisuje jejich funk nost. Popisuje p íklady jejich praktického nasazení. Zabývá se p edevším IDS systémem Snort, jeho obsahem i ukázkou implementace do existujícího systému. Tento dokument bude sloužit jako stru ný ucelený návod, který popíše pot ebnou teorii a možnosti praktického nasazení.
Abstract This work deals with Intrusion Detection Systems. It divides them into categories and describes their functions. It describes examples of their using. It deals primary with IDS System Snort, content of them and with an example of their implementation into an existing system. This document will be used like a short compact manual which describes a necessary theory of Intrusion Detection Systems and possibilities of their practical using.
Klí ová slova Systém detekce pr nik Efektivnost IDS Antivirový software Firewall – nep ekládá se Server – nep ekládá se IDS hostitelského systému Sí ový IDS Distribuovaný IDS Detekce anomálií Signatura
Keywords Intrusion Detection System IDS Efficiency Antivirus software Firewall Server Host IDS Network IDS Distributed IDS Anomaly detection Signature
Zadání práce V d sledku rozvoje informa ních sítí a informa ních systém vzniká ím dál citeln ji pot eba za len ní automatizovaných nástroj umož ujících detekci a vyhodnocení útok na systémy v ur ité síti. Jedním z takových nástroj je modulární Intrusion detection systém SNORT, který slouží k automatické detekci a vyhodnocování útok v síti a který je voln dostupným nástrojem. Úkolem práce je seznámit se s principy fungování IDS systém , n kterými variantami a zvlášt pak dokumentací programu SNORT (IDS – Intrusion Detection System); instalovat systém SNORT v prost edí J U; dále provést vyhodnocení provozu systému a zhodnotit možnosti nasazení i v prost edí jiných organizací; navrhnout techniku pro vyhodnocování dat, které systém produkuje ve zna né mí e. Místo praktické instalace IDS Snort bylo z realiza ních d vod zm n no na sí ob anského sdružení Vodvas.Net. Datum zadání: P edpokládaný datum obhajoby:
28. dubna 2008 léto 2009
Úvod Úvod do problematiky Systém detekce pr nik (IDS) lze p irovnat nap . k zabezpe ení budovy alarmem. Stejn tak jako alarm hlídá pohyb po budov , narušení oken a vstup , tak i IDS systém monitoruje komunikaci, komunika ní porty, odchylky od nadefinovaného normálu chování, porovnává práv probíhající situaci s uloženými modely chování ve své databázi – tzv. signaturami. Na základ detekce pr niku je dále možné vyvolat alarmy, automaticky kontaktovat administrátory, vyvolat bezpe nostní odpov v podob blokace komunikace. Je tedy z ejmé, že n které IDS systémy mohou mít p ímou vazbu na firewally i antiviry a dokáží tedy odpovídajícím zp soben elit hrozb v reálném ase za pomoci konfigurace t chto prvk . IDS je nejlepší si p edstavit jako vysoce specifikovaný hi-tech nástroj pro zprávu zabezpe ení informa ního systému, jež dokáže íst a interpretovat obsah logovacích soubor router , firewall , server a dalších sí ových za ízení. Systém detekce pr nik asto shromaž uje jím zaznamenaná data v databázi, do nichž je možné kdykoli nahlédnout a vytvo it z nich odpovídající statistiky, analyzovat charaktery útok pop . vyvodit dodate ná bezpe nostní opat ení.
Cíle práce Cílem této práce je dopln ní zabezpe ení po íta ové sít ob anského sdružení Vodvas.Net o IDS systém Snort, p iblížení problematiky IDS (Intrusion Detection System) systém a následná demonstrace vlastní realizace tohoto projektu. Tato bakalá ská práce by m la sloužit jako jakýsi stru ný ucelený návod v eském jazyce pro p ípadné další realizace bezpe nostních opat ení pomocí tohoto nástroje.
P ehled literatury [1] Snort 2.0 Intrusion Detection [2] Intrusion Detection Systems with Snort [3] Systémy detekce pr niku [4] The Evolution of Intrusion Detection Systems [5] Rhyba ení st ídá pharming [6] Bro Intrusion Detection Systém [7] OSSEC [8] Sguil: The Analyst Console for Network Security Monitoring [9] Basic Analysis and Security Engine (BASE) project
Analýza problému Východiska ešení O dané problematice je již napsáno zna né množství odborných lánk a knih v tšinou v anglickém jazyce. V eském jazyce je však napsáno jen málo nepodrobných a nekomplexních lánk . Proto se zam uji na tvorbu krátké komplexní publikace s praktickou ukázkou ešení.
Metodika Má metodika má následující sled: 1. Úvod do problematiky IDS 2. Krátké seznámení s existujícími IDS systémy 3. Seznámení se systémem SNORT 4. Ukázka praktického nasazení IDS systému SNORT 5. Záv r a shrnutí problematiky i praktického p íkladu
Co je již hotovo Hotové jsou první t i kapitoly bakalá ské práce (Úvod, Problematika IDS, Existující IDS systémy). Tyto kapitoly jsou zpracovány v rozsahu 23 stran z plánovaných cca 65. Zadaný rozsah práce je 60 stran.
Co je t eba ješt ud lat Ješt je t eba zpracovat další t i kapitoly (IDS systém SNORT, Implementace IDS SNORT, Záv r). Pátá nejrozsáhlejší kapitola obsahuje vlastní projekt implementace IDS Snort v prost edí sít ob anského sdružení Vodvas.Net.
Seznam literatury [1] BEALE, Jay, FOSTER, James C. Snort 2.0 Intrusion Detection. Brian Caswell; Catherine B. Nolan; Technical Advisor: Jeffrey Posluns. [s.l.] : [s.n.], c2003. 559 s., 1 CD. Zna né množství p isp vovatel . ISBN 1-931836-74-4. [2] UR REHMAN, Rafeeq,. Intrusion Detection Systems with Snort. Mary Sudul; Jill Harry. [s.l.] : [s.n.], c2003. 275 s. ISBN 0-13-140733-3. [3] ŠUMSKÝ, David. Systémy detekce pr niku. [s.l.], 2006. 115 s. Masarykova univerzita - Fakulta informatiky. Vedoucí diplomové práce Dr. Václav Matyáš ml. Dostupný z WWW:
. [4] INNELLA, Paul, et al. The Evolution of Intrusion Detection Systems. Security Focus [online]. 2001-11-16 [cit. 2008-12-29]. Dostupný z WWW: . [5] BITTO, Ond ej. Rhyba ení st ídá pharming. Lupa : server o eském internetu [online]. 31. 3. 2005 [cit. 2008-12-29]. Dostupný z WWW: . [6] Lawrence Berkeley National Laboratory. Bro Intrusion Detection System [online]. c2003-2008 [cit. 2008-12-29]. Dostupný z WWW: . [7] Third Brigade, Inc.. OSSEC [online]. c2008 [cit. 2008-12-29]. Dostupný z WWW: . [8] VISSCHER, Bamm, VIKLUND, Andreas. Sguil: The Analyst Console for Network Security Monitoring [online]. c2007 [cit. 2008-12-29]. Dostupný z WWW: .
[9]Basic Analysis and Security Engine (BASE) project [online]. c2000-2008 [cit. 2008-12-29]. Dostupný z WWW: .
