!""!# $%&%'())*+),
Abstrakt Tato práce se zabývá systémy detekce prnik. Rozdluje tyto systémy do kategorií a popisuje jejich funknost. Popisuje píklady jejich praktického nasazení. Zabývá se pedevším IDS systémem Snort, jeho obsahem i ukázkou implementace do existujícího systému. Tento dokument bude sloužit jako struný ucelený návod, který popíše potebnou teorii a možnosti praktického nasazení. Abstract This work deals with Intrusion Detection Systems. It divides them into categories and describes their functions. It describes examples of their using. It deals primary with IDS System Snort, content of them and with an example of their implementation into an existing system. This document will be used like a short compact manual which describes a necessary theory of Intrusion Detection Systems and possibilities of their practical using. Klíová slova Systém detekce prnik Efektivnost IDS Antivirový software Firewall nepekládá se Server nepekládá se IDS hostitelského systému Síový IDS Distribuovaný IDS Detekce anomálií Signatura Keywords Intrusion Detection System IDS Efficiency Antivirus software Firewall Server Host IDS Network IDS Distributed IDS Anomaly detection Signature
Zadání práce V dsledku rozvoje informaních sítí a informaních systém vzniká ím dál citelnji poteba zalenní automatizovaných nástroj umožujících detekci a vyhodnocení útok na systémy v urité síti. Jedním z takových nástroj je modulární Intrusion detection systém SNORT, který slouží k automatické detekci a vyhodnocování útok v síti a který je voln dostupným nástrojem. Úkolem práce je seznámit se s principy fungování IDS systém, nkterými variantami a zvlášt pak dokumentací programu SNORT (IDS Intrusion Detection System); instalovat systém SNORT v prostedí JU; dále provést vyhodnocení provozu systému a zhodnotit možnosti nasazení i v prostedí jiných organizací; navrhnout techniku pro vyhodnocování dat, které systém produkuje ve znané míe. Místo praktické instalace IDS Snort bylo z realizaních dvod zmnno na sí obanského sdružení Vodvas.Net. Datum zadání: 28. dubna 2008 Pedpokládaný datum obhajoby: léto 2009
Úvod Úvod do problematiky Systém detekce prnik (IDS) lze pirovnat nap. k zabezpeení budovy alarmem. Stejn tak jako alarm hlídá pohyb po budov, narušení oken a vstup, tak i IDS systém monitoruje komunikaci, komunikaní porty, odchylky od nadefinovaného normálu chování, porovnává práv probíhající situaci s uloženými modely chování ve své databázi tzv. signaturami. Na základ detekce prniku je dále možné vyvolat alarmy, automaticky kontaktovat administrátory, vyvolat bezpenostní odpov v podob blokace komunikace. Je tedy zejmé, že nkteré IDS systémy mohou mít pímou vazbu na firewally i antiviry a dokáží tedy odpovídajícím zpsoben elit hrozb v reálném ase za pomoci konfigurace tchto prvk. IDS je nejlepší si pedstavit jako vysoce specifikovaný hi-tech nástroj pro zprávu zabezpeení informaního systému, jež dokáže íst a interpretovat obsah logovacích soubor router, firewall, server a dalších síových zaízení. Systém detekce prnik asto shromažuje jím zaznamenaná data v databázi, do nichž je možné kdykoli nahlédnout a vytvoit z nich odpovídající statistiky, analyzovat charaktery útok pop. vyvodit dodatená bezpenostní opatení. Cíle práce Cílem této práce je doplnní zabezpeení poítaové sít obanského sdružení Vodvas.Net o IDS systém Snort, piblížení problematiky IDS (Intrusion Detection System) systém a následná demonstrace vlastní realizace tohoto projektu. Tato bakaláská práce by mla sloužit jako jakýsi struný ucelený návod v eském jazyce pro pípadné další realizace bezpenostních opatení pomocí tohoto nástroje. Pehled literatury [1] Snort 2.0 Intrusion Detection [2] Intrusion Detection Systems with Snort [3] Systémy detekce prniku [4] The Evolution of Intrusion Detection Systems [5] Rhybaení stídá pharming [6] Bro Intrusion Detection Systém [7] OSSEC [8] Sguil: The Analyst Console for Network Security Monitoring [9] Basic Analysis and Security Engine (BASE) project Analýza problému Východiska ešení O dané problematice je již napsáno znané množství odborných lánk a knih vtšinou v anglickém jazyce. V eském jazyce je však napsáno jen málo nepodrobných a nekomplexních lánk. Proto se zamuji na tvorbu krátké komplexní publikace s praktickou ukázkou ešení.
Metodika Má metodika má následující sled: 1. Úvod do problematiky IDS 2. Krátké seznámení s existujícími IDS systémy 3. Seznámení se systémem SNORT 4. Ukázka praktického nasazení IDS systému SNORT 5. Závr a shrnutí problematiky i praktického píkladu Co je již hotovo Hotové jsou první ti kapitoly bakaláské práce (Úvod, Problematika IDS, Existující IDS systémy). Tyto kapitoly jsou zpracovány v rozsahu 23 stran z plánovaných cca 65. Zadaný rozsah práce je 60 stran. Co je teba ješt udlat Ješt je teba zpracovat další ti kapitoly (IDS systém SNORT, Implementace IDS SNORT, Závr). Pátá nejrozsáhlejší kapitola obsahuje vlastní projekt implementace IDS Snort v prostedí sít obanského sdružení Vodvas.Net. Seznam literatury [1] BEALE, Jay, FOSTER, James C. Snort 2.0 Intrusion Detection. Brian Caswell; Catherine B. Nolan; Technical Advisor: Jeffrey Posluns. [s.l.] : [s.n.], c2003. 559 s., 1 CD. Znané množství pispvovatel. ISBN 1-931836-74-4. [2] UR REHMAN, Rafeeq,. Intrusion Detection Systems with Snort. Mary Sudul; Jill Harry. [s.l.] : [s.n.], c2003. 275 s. ISBN 0-13-140733-3. [3] ŠUMSKÝ, David. Systémy detekce prniku. [s.l.], 2006. 115 s. Masarykova univerzita - Fakulta informatiky. Vedoucí diplomové práce Dr. Václav Matyáš ml. Dostupný z WWW: <http://is.muni.cz/th/51653/fi_m/diplomka.pdf>. [4] INNELLA, Paul, et al. The Evolution of Intrusion Detection Systems. Security Focus [online]. 2001-11-16 [cit. 2008-12-29]. Dostupný z WWW: <http://www.securityfocus.com/infocus/1514>. [5] BITTO, Ondej. Rhybaení stídá pharming. Lupa : server o eském internetu [online]. 31. 3. 2005 [cit. 2008-12-29]. Dostupný z WWW: <http://www.lupa.cz/clanky/rhybareni-stridapharming/>. [6] Lawrence Berkeley National Laboratory. Bro Intrusion Detection System [online]. c2003-2008 [cit. 2008-12-29]. Dostupný z WWW: <http://www.bro-ids.org/overview.html>. [7] Third Brigade, Inc.. OSSEC [online]. c2008 [cit. 2008-12-29]. Dostupný z WWW: <http://www.ossec.net/>. [8] VISSCHER, Bamm, VIKLUND, Andreas. Sguil: The Analyst Console for Network Security Monitoring [online]. c2007 [cit. 2008-12-29]. Dostupný z WWW: <http://sguil.sourceforge.net/index.html>.
[9]Basic Analysis and Security Engine (BASE) project [online]. c2000-2008 [cit. 2008-12-29]. Dostupný z WWW: <http://base.secureideas.net/contact.php>.