IDS rendszerek használata Tor exit node forgalmának vizsgálatára

OData támogatás
Konzulens:
Dr. Buttyán Levente
Hálózati Rendszerek és Szolgáltatások Tanszék

A mai világban internetes anonimitásunk védelme egyre nehezebb feladat. Sok nagy online vállalat gyűjt rólunk és számítógépünkről adatokat, nem is beszélve a nemzetbiztonsági szolgálatoktól. A privát szféra védelmére elterjedten használt eszköz a Tor, ami titkosítva továbbítja az adatokat a saját hálózatán belül, egy véletlenszerű exit node-on hagyva el azt, valószínűleg egy egész más országban, így biztosítva a visszakövethetetlenséget. Azonban ez az eszköz a támadóknak is lehetőséget ad névtelenül illegális cselekedetek véghezviteléhez, forrásként a kilépő pont IP címét felhasználva.

Az első hely, ahol a rosszindulatú támadások detektálhatóak, az a Tor exit node. Ide telepített behatolás detektáló rendszerek (IDS) segítségével lehetséges detektálni a rosszindulatú, támadó jellegű forgalmat és riasztásokat generálni azok jelzésére.

Szakdolgozatomban megvizsgálom, hogy a Tor exit node forgalmának megfigyelése az egyes IDS rendszerekkel mennyire alkalmas a hagyományos támadó forgalom detektálására. Hagyományos támadó forgalomnak tekinthetőek az SQL injekciós támadások, jelszó feltörési kísérletek és különböző exploitok használata, hálózat felderítési kísérletek és Shellkód futtatási kísérletek, CNC szerver kommunikáció. A vizsgálathoz kiépítettem egy tesztkörnyezetet, hogy a megfigyelt exit node-on keresztül támadásokat kezdeményezhessek az általam üzemeltetett célgép felé. A környezet használatával képes vagyok az IDS-ek teljesítményét megvizsgálni a kiváltott riasztások elemzésével.

Létrehoztam továbbá egy olyan architektúrát, ami alkalmas a támadások megakadályozására szignatúra alapon, kihasználva a megvizsgált IDS motor IPS képességeit.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.