Intrusion detection and prevention in Linux host systems
No Thumbnail Available
URL
Journal Title
Journal ISSN
Volume Title
School of Electrical Engineering |
Master's thesis
Checking the digitized thesis and permission for publishing
Instructions for the author
Instructions for the author
Authors
Date
2010
Major/Subject
Ohjelmistotekniikka
Mcode
T-106
Degree programme
Tietotekniikan tutkinto-ohjelma
Language
en
Pages
x + 62
Series
Abstract
Computers have become more commonplace in every level of society, and attacks directed towards them are on the rise. Gaining remote control of a computer has also opened new ways to benefit financially. If you can control one or more machines on the Internet, you can fairly easily access confidential information stored on those computers. At the same time, already compromised hosts can be used as a vehicle to infect other vulnerable systems, and so effectively increase the amount of hijacked machines - this is also commonly referred to as a botnet. Behaviour of malware has changed over time. In the past a virus was typically written primarily to spread, and in some cases delete information or render the machine unusable on a certain date. The trend has now moved towards stealth malware, where the purpose is not to inflict any damage to the owner of the computer, but actually aim for a situation where the malware exist in the machine without any user noticing that someone is able to control the machine remotely. The motivation behind intrusions is almost always money. By obtaining users credentials to a bank or a web shop, without anyone noticing it, goods can be purchased under the identity of another person. If access to a corporate network is gained, the confidential financial or research information found therein, can be used: to blackmail the company, use insider information to trade on the stock exchange or simply sell it onwards. This thesis will describe attacks directed to Linux systems from the viewpoint of a local user, and discuss how intrusions can be detected and prevented either proactively, in real-time or as soon as possible after an intrusion has occurred. First we consider a few different security models that are used in computers currently, and point out a few flaws in them. These flaws make it difficult to build a secure system. Next some known attack methods that are used in intrusion scenarios are described on a general level. We then concentrate on intrusion detection and different prevention methods. Finally we introduce an implementation that aims to enhance security in a Linux system. The conclusions of the thesis are twofold. A secure system requires mandatory access control and having intrusion detection system as an integral part of the system beneficial.Tietokoneiden yleistyessä yhteiskunnan jokaisella alueella ovat myös hyökkäykset niitä kohtaan kasvaneet huomattavasti, kun niiden hallinnasta on voinut alkaa hyötymään taloudellisesti. Jos pystyy saamaan hallintaansa yhden tai useamman koneen internetistä voi päästä käsiksi ihmisten tai organisaatioiden luottamuksellisiin tietoihin. Samalla voi ohjata koneet etsimään lisää haavoittuvia koneita ja kasvattaa siten tehostetusti käskytettävien koneiden määrää. Vielä joitain vuosia sitten virukset oli enimmäkseen kirjoitettu ensisijaisesti leviämään ja sen jälkeen tietyn ajan kuluttua tuhoamaan koneelta tietoja, tai saamaan koneen pysyvästi tilaan jossa sitä ei enää pystynyt käyttämään. Nykyään yhä harvemmat haittaohjelmat pyrkivät siihen, että käyttäjää ei suoranaisesti vahingoiteta tuhoamalla tietoja. Päämääränä on, ettei käyttäjä edes huomaa koneensa olevan jonkun toisen hallittavissa verkon ylitse. Valtaosissa tunkeutumisyrityksissä on motivaationa raha. Mikäli kykenee saamaan selville ihmisten tunnukset verkkopankkiin tai verkkokauppoihin ilman että sitä huomataan, voi tilata tavaraa toisen laskuun. Päästessä sisään yritysten verkkoihin voi pyrkiä hyötymään yritysten taloudellisista tai tutkimuksellisista tiedoista, sijoittamalla varmoihin kohteisiin pörssissä tai myymällä tutkimustietoja eteenpäin. Tässä lopputyössä esitellään Linux -järjestelmiin kohdentuvia hyökkäyksiä paikallisen käyttäjän näkökulmasta sekä sitä miten niitä voidaan havaita ja torjua joko ennalta, reaaliajassa tai mahdollisimman nopeasti hyökkäyksen onnistuttua. Aluksi käsitellään muutamia erilaisia turvallisuusmalleja joita tietokoneissa on nykyään käytössä sekä tuodaan esille joidenkin mallien selviä suunnittelupuutteita. Puutteet johtavat siihen että tietyille tietoturvamalleille perustuvien käyttöjärjestelmien päälle on mahdotonta rakentaa turvallista järjestelmää. Seuraavaksi kuvataan yleisellä tasolla eräitä tunnettuja tapoja joita käytetään hyökkäyksiin joiden päämääränä on saada tietokone ulkopuolisen hallintaan. Tämän jälkeen keskitytään hyökkäysten havainnointiin ja erilaisiin reaaliaikaisiin torjuntamenetelmiin. Lopuksi esitellään eräs toteutus joka pyrkii Linux -järjestelmän tietoturvan parantamiseen. Lopputyössä päädytään seuraaviin päätelmiin. Turvatun järjestelmän toteuttamiseen vaaditaan määrätty pääsynhallinta ja hyökkäysten havaitsemisjärjestelmä osana systeemiä tukee sitä.Description
Supervisor
Soisalon-Soininen, EljasKeywords
intrusion detection, Linux, IDS, hyökkäysten havaitseminen, intrusion prevention, hyökkäysten torjunta, IPS, tietoturva, computer security