Åtgärder för att motverka säkerhetsbrister i katalogtjänster

(1)

Akademin f¨

or Innovation Design och Teknik

V¨

aster˚

as, Sverige

Examensarbete f¨

or h¨

ogskoleingenj¨

orsexamen i n¨

atverksteknik 15hp

˚

ATG ¨

ARDER F ¨

OR ATT MOTVERKA

S ¨

AKERHETSBRISTER I

KATALOGTJ ¨

ANSTER

Johan Hanna

Jha14001@student.mdh.se

Examinator: Mats Bj¨

orkman

Mälardalen Högskola, Väster˚as, Sverige

Handledare: Sara Lundahl

Mälardalen Högskola, Väster˚as, Sverige

Helena Innerg˚

ard

Engvall Security AB, V¨aster˚as, Sverige

Ort: V¨

aster˚

as

(2)

Sammanfattning

Katalogtjänster är och förblir en central och kritisk del i informationssystem. I katalog-tjänsterna samlas stora mängder information om användare och behörigheter för respek-tive användare. I högriskmiljöer, där bland annat hemlig och annan skyddsvärd informa-tion samlas, är katalogtjänsterna i en utsatt situation. Om en katalogtjänst svarar fel p˚a en resursförfr˚agan kan konsekvenserna vara stora. Arbetet grundade sig i att med hjälp av olika säkerhetshöjande ˚atgärder bygga upp ett mer robust system för att skydda ka-talogtjänsten mot att behörighetsprinciperna bryts och ger obehörig personal eller andra aktörer tillg˚ang till skyddsvärda resurser. Arbetet syftade till att öka medvetenheten kring de hypotetiska s˚arbarheterna som finns i en katalogtjänst och baserat p˚a detta resulte-ra i hur de potentiella s˚arbarheterna i ˚atkomstprinciperna kan motverkas eller mildras. För att uppn˚a detta resonerades det fram tv˚a testfall varav ett teoretiskt. Dessa byggde p˚a att ett Intrusion Prevention System (IPS) implementerades i ett av testfallen och en brandvägg i det andra teoretiska fallet. B˚ada ˚atgärderna implementerades i trafikflödets riktning i respektive nätverkssegment för att kontrollera användarnas behörigheter i real-tid. Testfallen byggdes upp simulerat med hjälp av bland annat GNS3 och Virtualbox. Det experiment som upprättades med IPS:en som huvudkomponent gav ett positivt utfall där enheten med hjälp av en uppsättning regler kunde utläsa specifika trafikflöden till resurser som den avsedda användaren inte hade tillg˚ang till och baserat p˚a detta utföra olika ty-per av ˚atgärder. Experimentet med brandväggen gav däremot inte önskat resultat, detta berodde p˚a att det inte fanns stöd för den eftersökta funktionaliteten i de brandväggar med öppen källkod som undersöktes för implementationen. Det resultat som genererades med hjälp av IPS:ens förm˚aga att analysera trafik i realtid och baserat p˚a detta utföra fördefinierade ˚atgärder betyder att det effektivt kan byggas upp ytterligare en barriär av skydd utöver katalogtjänstens egna säkerhet. Vidare medför detta även att om en IPS implementeras krävs det att tv˚a av varandra oberoende säkerhets˚atgärder fallerar innan ett felsvar realiseras vilket är att användaren f˚ar tillg˚ang till resursen.

(3)

1 Inledning . . . 1

2 Bakgrund . . . 2

2.1 Katalogtj¨anster . . . 2

2.2 Windows Server . . . 2

2.2.1 Remote Authentication Dial-In Services . . . 3

2.2.2 Active Directory . . . 4 2.3 Hot . . . 5 2.4 S˚arbarheter . . . 5 2.5 Attackvektorer . . . 5 2.6 Virtualisering . . . 6 2.6.1 Virtualbox . . . 7

2.6.2 Graphical Network Simulator 3 . . . 7

2.7 Kontroll av paketfl¨ode . . . 7

2.8 Intrusion Prevention System . . . 8

2.8.1 Signature-based . . . 8 2.8.2 Anomaly-based . . . 8 2.8.3 Policy-based . . . 8 2.8.4 Atomic Signature . . . 8 2.8.5 Stateful Signature . . . 9 2.9 Raspberry Pi . . . 9 2.10 Brandv¨agg . . . 9

2.10.1 Packet Filtering Firewall . . . 9

2.10.2 Proxy Firewall . . . 10

2.10.3 Reverse Proxy Firewall . . . 10

2.10.4 Packet-inspection Firewall . . . 11

3 Litteraturstudie . . . 12

4 Fr˚agest¨allning . . . 14

5 Metod . . . 15

6 Etik och samh¨alleliga aspekter . . . 16

7 Design och genomf¨orande av experiment . . . 17

7.1 Program . . . 17

7.2 Scenario . . . 17

7.2.1 Scenario 1 IPS . . . 17

7.2.2 Uppr¨attandet av scenario 1 . . . 18

7.2.3 Uppr¨attandet av IPS . . . 19

7.3 Funktion . . . 20

7.3.1 Scenario 2 brandv¨agg . . . 21

8 Resultat . . . 22

8.1 IT-systemets utformning . . . 23

8.2 Säkerställandet av säkerhets˚atgärden . . . 24

(4)

10 Slutsatser . . . 26

11 Framtida arbete . . . 27

Referenser . . . 30

Figurer

1 Active Directory Logisk topologi . . . 4

2 Attackvektor: Fl¨ode . . . 5

3 Virtualiserade tj¨anster . . . 6

4 Resurs˚atg˚ang: Fysiska enheter . . . 7

5 Resurs˚atg˚ang: Enhet med virtualiserade tj¨anster . . . 7

6 Brandv¨agg: Ett n¨atverks insida och utsida . . . 9

7 Brandv¨agg: Packet filtering firewall [1] . . . 10

8 Brandv¨agg: Proxy firewall [1] . . . 10

9 Brandv¨agg: Reverse Proxy Firewall [1] . . . 11

10 Brandv¨agg: Packet-Inspection Firewall [1] . . . 11

11 Overgripande arbetsfl¨¨ ode . . . 15

12 Oversiktsbild f¨¨ or scenariogrund . . . 15

13 Oversiktsbild f¨¨ or scenario 1: Analys (IPS) . . . 18

14 Topologi f¨or scenario 1: Analys (IPS) . . . 19

15 Oversikt signatur . . . .¨ 20

16 Signaturens upps¨attning . . . 20

17 Oversiktsbild f¨¨ or scenario 2: Brandv¨agg . . . 22

18 Utslag p˚a behörighetsöverträdelse . . . 23

19 Utslag p˚a behörighetsöverträdelse IPS . . . 23

Tabeller

1 Pakettyper i RADIUS . . . 3

2 Signaturens default ˚atg¨arder . . . 19

3 Signaturens upps¨attning . . . 20

4 Uppr¨attandet av n¨atverksbrygga . . . 21

(5)

1 Inledning

Dagens nätverk har i huvuduppgift att tillhandah˚alla hög tillgänglighet av data och tjänster. I och med att fler system och klienter installeras ökar även volymerna känsliga data som rör sig och/eller lagras i nätverken. Ett övergripande krav p˚a ett IT-system är att det ska klara av att stötta verksamheter där informationsmängden är s˚adan att alla användare inte har samma behörighet till alla resurser i nätverket [2][3] . Ser man till högriskmiljöer där bland annat myndigheter och militära anläggningar ing˚ar är detta ett tydligt krav. Systemen m˚aste säkras upp samt att säkerhets˚atgärderna som implemen-terats m˚aste kunna p˚avisas. Ett exempel p˚a detta är system avsedda för behandling av personuppgifter där det tydligt framg˚ar att adekvata säkerhets˚atgärder ska användas [3] [4].

Tidiga implementationer av IT-system byggde i hög grad p˚a decentraliserade system. Funktionaliteten i de systemen delades s˚aledes upp p˚a flertalet enheter med specifik funktionalitet där exempelvis säkerheten administrerades fr˚an en specifik enhet medan användare administrerades fr˚an en annan [5, pp. 2 - 7]. I nutid har de traditionella decent-raliserade systemen harmoniserats till ett centraliserat system med en katalogtjänst som nav. Katalogtjänsten har i uppgift att bland annat styra användare, grupper, filytor och ˚atkomstbehörigheter [6].

I och med den centrala roll som katalogtjänsten spelar i IT-miljöerna är dessa utsatta för attacker och kräver därför omfattande skydds˚atgärder. Jag har i arbetet därför valt att, med hjälp av tv˚a fr˚ageställningar, undersöka bland annat hur ˚atkomstprinciperna kan skyddas i en katalogtjänst. En katalogtjänst kan utsättas för en rad olika angrepp med hjälp av attackmetoder som bland annat; Rekogniceringsattacker vilka ofta initierar ett an-grepp. Syftet med dessa är att samla information om de s˚arbarheter som finns i systemen, Brute Force-attacker som är en form av lösenordsgissning och eskalering av behörighet till systemresurser [7]. Dessa är endast ett axplock av s˚arbarheter och attackmetoder som kan hota säkerheten i en katalogtjänst. Ett intressant omr˚ade är ˚atkomstprinciper. De styr bland annat behörigheter till olika resurser i systemet vilket kan ge förödande konsekven-ser om dessa bryts. Problematiken som kan uppst˚a med ˚atkomstprinciperna och hur den kan motverkas eller mildras avhandlas därför ing˚aende i rapporten.

Jag valde att utföra en litteraturstudie som skapade grunden för testscenarierna som upprättades i efterföljande experimentfas. Miljön byggdes upp enligt en fördefinierad to-pologi som delvis strukturerades om inför respektive scenario. Genom att arbeta utifr˚an scenarierna i en simulerad miljö möjliggjordes en hög flexibilitet i uppbyggnaden där mo-difieringar kunde utföras utan större ingrepp. Arbetet som utfördes avhandlar s˚arbarheter i katalogtjänster och ämnar n˚a adekvata metoder för hur ˚atkomstprinciper kan skyddas. En stor del i examensarbetet har varit att eliminera single-point-of-failure och implemen-tera ytterligare säkerhets˚atgärder utöver katalogtjänstens. Studien visar att detta g˚ar att uppn˚a med hjälp av ett utav de tv˚a testfallen.

(6)

2 Bakgrund

Upprättandet av IT-system grundar sig i en robust nätverksinfrastruktur som har i uppgift att transportera data som flödar mellan kontrollenheter, servrar, övervakningssystem och ¨

andnoder. Det underliggande nätverket kan i sin enkelhet ses som en transportkanal i mo-derna system. I syfte att ge nätverket specifik funktionalitet tillsätts servrar vilka ansvarar för bland annat användar- och säkerhetsadministration samt Network Attached Storage-funktionalitet (NAS). Vidare installeras klienter vilka nyttjar b˚ade nätverket och funktio-naliteten som servrarna tillhandah˚aller. I och med att klienterna använder nätverket i sitt dagliga arbete ökar mängden skyddsvärd data som flödar i IT-systemen vilket ger upphov till ett omfattande säkerhetsarbete och ett robust system vilket i förlängningen även ger högre motst˚andskraft mot riktade försök att forcera säkerheten i systemen.

2.1 Katalogtj¨anster

En katalogtjänst möjliggör centraliserad eller distribuerad administration av bland annat; behörighetsprinciper, användare, grupper, nätverksresurser och regler i en hierarkisk struk-tur, detta för att minimera den administrativa bördan i att bibeh˚alla ett uppdaterat och effektivt system [5, pp. 3 - 6]. I förlängningen betyder detta även att katalogtjänsten utgör en central punkt där användarnas behörigheter samlas och till˚ater s˚aledes användarna att nyttja olika resurser och tjänster som tillhandah˚alls i nätverket. D˚a företag och organisa-tioner kan sträcka sig över l˚anga geografiska sträckor implementeras ofta flertalet servrar som alla är en del av den ursprungliga katalogtjänsten. Detta medför att informationen är n˚abar för alla användare i organisationen utan krav p˚a fysisk plats. Katalogtjänster finns i en rad olika genomföranden exempelvis Microsofts Active Directory, OpenLDAP och 389 Directory Services. Active Directory är marknadsledande med en sammanlagd procentuell användning om 87.17% enligt Spiceworks utvärdering av användandet av operativsystem för servrar [8]. D˚a Microsofts Active Directory är dominerande p˚a marknaden kommer arbetet fokusera p˚a den katalogtjänsten.

2.2 Windows Server

Microsofts Windows Server är ett samlingsnamn för operativsystem ämnade för servrar, ¨

aven kallade nätverksoperativsystem (NOS). Utvecklandet av operativsystemet har hi-storiskt sett utförts parallellt med utvecklandet av operativsystemen för arbetsdatorer och hemdatorer där exempelvis Windows 7 och Windows 10 ing˚ar. Genom introduktio-nen av Windows Server-familjen gav Microsoft företag, organisationer och myndigheter möjligheten att centralisera sina resurser p˚a ett och samma ställe. Operativsystemet till-handah˚aller även roller som är en samling tjänster som ger servern sin funktionalitet. Tjänster s˚a som Active Directory (AD), Domain Naming System (DNS), Dynamic Host Configuration Protocol (DHCP), Internet Information Services (IIS) [5, pp. 24 - 28]. Utöver rollerna ˚aterfinns även programtillägg som höjer en eller flera rollers funktionalitet.

(7)

2.2.1 Remote Authentication Dial-In Services

Remote Access Dial-In User Service (RADIUS) är ett protokoll som ger administratörer möjlighet att administrera autentisering, behörigheter och samla statistik över användning av resurser [9]. Protokoll som har attributen g˚ar under namnet AAA-protokoll (Authen-tication, Authorization and Accounting).

Autentisering En användare som skickar en förfr˚agan om att f˚a tillg˚ang till nätverket eller specifika resurser m˚aste autentisera sig mot enhe-ten som kör tjänsten RADIUS. Med detta menas att användaren m˚aste uppge säkerhetsinformation som understryker att denne ¨

ar vem den utger sig f¨or att vara.

Behörighetskontroll Efter en genomförd autentiseringskontroll kontrolleras även vil-ka behörigheter användaren har i systemet. Användaren kan exempelvis endast vara behörig att bära sin trafik via Hyper-text Transfer Protocol (HTTP) vilket kontrolleras i beh¨ orighets-kontrollen.

¨

Overvakning Radius ger även administratören möjlighet att kontrollera re-surs˚atg˚angen per användare. Detta är vanligt förekommande bland exempelvis Internet Service Providers (ISP) och telekom-företag.

Radius använder sig av en rad olika typer av paket som skickas mellan klienten och ser-vern. Paketen som skickas har i uppgift att säkerställa om klienter f˚ar tillg˚ang till nätverk och specifika resurser, bland dessa ˚aterfinns Access-Request, Access-Accept, Access-Reject, Access-Challenge [10, pp. 16 - 21]. Se tabell 1 för information om de olika pakettyperna.

Tabell 1: Pakettyper i RADIUS

Access-Request Paketen skickas fr˚an klienten till servern i form av en förfr˚agan där m˚alet med förfr˚agan är att kontrollera om användaren har behörighet att använda nätverket eller den specifika resursen. Access-Accept Servern kontrollerar uppgifterna i Request-paketet och om

f¨orfr˚agan godk¨anns skickas ett Access-Accept tillbaka till klien-ten.

Access-Reject Om Request-paketet d¨aremot inte godk¨anns svarar servern med ett Access-Reject.

Access-Challenge Challenge paketen skickas i syfte att kontrollera klientens upp-gifter och beh¨origheter p˚a nytt. Access-Challenge skickas f¨or att tvinga klienten att skicka ett nytt Access-Request meddelande, detta kontrolleras p˚a nytt och ett Access-Accept, Access-Reject eller Access-Challenge skickas p˚a nytt.

(8)

2.2.2 Active Directory

Tidiga implementationer av en intern och fullständig infrastruktur grundade sig i ett de-centraliserat system där information om användarna lagrades i en databas medan användarnas konton samlades p˚a en fysiskt fr˚anskild server. Säkerhets˚atgärder för de specifika kontona kunde i vissa fall även dessa läggas ut p˚a ytterligare en avskild enhet [5, pp. 3 - 6]. AD:t gör det möjligt att centralisera informationen i en server eller distribuera funktionaliteten p˚a flera likvärdiga servrar.

En Windows Server med Active Directory (AD) installerat blir per definition en dom¨ an-kontrollant. All data som samlas i AD kallas objekt. Objekten katalogiseras i sin tur i mappar som kallas organisationsenheter (organizational unit (OU)) [6, pp. 17 - 18]. Systemet kan upprättas centraliserat och distribuerat mellan olika domänkontrollanter. Domänkontrollanterna är en naturlig del i domänernas hierarkiska struktur som grundar sig i ett s˚a kallat domänträd. Domänträdet utgör de yttre gränserna och samlar de under-liggande domänerna [6, pp. 20-22]. Träden samlas i sin tur i en hierarkisk struktur kallad en skog [6, p. 22], se figur 1 för en översiktlig bild av den logiska strukturen.

(9)

AD är byggt p˚a en rad olika tjänster och Active Directory Domain Services (AD DS) är en av dessa [5][6]. Active Directory Domain Services är Microsofts svar p˚a en katalogtjänst. AD DS samlar alla nätverksanslutna enheter i en hierarkisk struktur för att underlätta administration av resurserna [5]. Den hierarkiska strukturen samlas och styrs i ett s˚a kallat Schema [5]. Schemat kan modifieras för att göra rum för specifika tidigare odefinierade resurser.

2.3 Hot

Med hot mot en IT-miljö syftas det ofta till obehöriga intr˚ang som kan förekomma, i alla sina former [11]. Alla aktörer med upps˚at att skada eller göra data och tjänster on˚abara räknas som hot [12]. Exempel p˚a hot kan vara känslig data som kan hamna i fel händer p˚a grund av att de anställda är outbildade i omr˚adet IT, h˚ard- och mjukvara som inte uppdateras kontinuerligt samt hackers. Andra händelser s˚a som naturkatastrofer och slarv räknas även de in bland hoten. Känslig data är alltid utsatt för hot fr˚an olika aktörer, som via s˚arbarheter kan n˚a m˚alet som är den önskade resursen [13].

2.4 S˚arbarheter

En s˚arbarhet är ett säkerhetsh˚al i ett IT-system eller applikation som gör systemet mot-tagligt mot angrepp. H˚alen förekommer i allt fr˚an h˚ardvara till personen som konfigurerar eller nyttjar enheten i sitt dagliga bruk. S˚arbarheterna kan vara en följd av den mänskliga faktorn där personen i fr˚aga konfigurerat en enhet eller tjänst fel, s˚arbarheterna kan även grunda sig i tillverkares konfigurationsmisstag eller att de helt enkelt inte uppmärksammat h˚alet under produktion. H˚alen nyttjas i sin tur av en angripare för att n˚a känslig data. [12] [14]

2.5 Attackvektorer

En attackvektor är i sin enkelhet ett medel vilken en aktör med illvilja kan nyttja i syfte att f˚a tillg˚ang till klienter samt det underliggande nätverket [15]. Medlet kan exempelvis vara en PDF-fil, en hemsida, ett svagt lösenord, den mänskliga faktorn eller en konfi-gurationsmiss som lämnar en s˚arbarhet i systemet vilken kan nyttjas som attackvektor. Attackvektorn gör det möjligt för aktören att leverera en nyttolast, vilken är den data som skickas med för att utföra ett angrepp och den används för att forcera säkerheten och f˚a tillg˚ang till de önskade resurserna eller skyddsvärd data. Se figur 2 för ett övergripande förlopp för hur en attackvektor används i syfte att äventyra säkerheten i ett IT-system.

(10)

Ett scenario för att p˚avisa vad en attackvektor är och hur den används kan exempelvis vara, att en Microsoft Office Word-fil (.docx) används som attackvektor i syfte att exploatera en känd s˚arbarhet i Microsoft Office.

2.6 Virtualisering

Virtualisering är en teknik för att skapa flertalet simulerade komponenter i en IT-miljö samt att i vissa fall simulera kompletta miljöer vilket redovisas grafiskt i figur 3. En simu-lerad komponent kallas för en virtuell maskin, dessa simuleras p˚a h˚ardvaran via en hyper-visor. Hypervisorerna finns i tv˚a genomföranden, Typ 1 och Typ 2. En Typ 1-hypervisor implementeras direkt p˚a h˚ardvaran och blir s˚aledes det enda lagret ”mellan” h˚ardvaran och de virtuella maskinerna. En hypervisor av typen 2 installeras däremot ovanp˚a ett un-derliggande operativsystem som exempelvis Windows eller Linux. [16, pp. 5 - 14]

Figur 3: Virtualiserade tj¨anster

Virtualisering av operativsystem kan användas i syfte att nyttja h˚ardvarans fulla kapacitet samt effektivisera hanteringen av tjänster. Traditionellt implementeras tjänster i separata servrar dedikerade för en specifik tjänst vilket gör att systemen i m˚anga fall har överflödiga resurser kvar som inte nyttjas enligt figur 4.

(11)

Figur 4: Resurs˚atg˚ang: Fysiska enheter

Virtualiseringen gör det möjligt att nyttja hela resursspektrumet, se figur 5, detta ge-nom att installera tjänsterna sida vid sida med bland annat fördefinierad processorkraft, växlingsutrymme och portar. [16, pp. 5 - 14] [17]

Figur 5: Resurs˚atg˚ang: Enhet med virtualiserade tj¨anster

2.6.1 Virtualbox

Virtualbox är en mjukvara med öppen källkod som gör det möjligt att virtualisera flertalet operativsystem i en fysisk enhet. Mjukvaran utvecklades initialt av Innotek GmbH som senare förvärvades av Oracle Corporation. Virtualbox är en typisk Typ 2 -hypervisor i det att mjukvaran installeras ovanp˚a ett operativsystem som även kallas Host operating system. [18]

2.6.2 Graphical Network Simulator 3

Graphical Network Simulator 3 (GNS3) är en grafisk simulator framtagen av Jeremy Gross-man [19] . Mjukvaran släpptes för allmännheten ˚ar 2008 och gör det möjligt att virtualisera, designa och testköra olika typer av nätverksmiljöer [19] [20, p. 1 - 2]. Mjukvaran är en av f˚a som klarar av att simulera funktionaliteten fr˚an olika tillverkares operativsystem och h˚ardvara. Virtualisering av routrar, switchar och servrar i GNS3 ger en bra bild av hur ett nätverk beter sig i verkligheten [20, pp. 2-8].

2.7 Kontroll av paketfl¨ode

Wireshark är ett program som gör det möjligt att analysera paketflöden i realtid. Inneh˚allet i trafikflödena kan med hjälp av mjukvaran undersökas i syfte att övervaka vad som rör sig mellan enheterna internt samt vad som mottas fr˚an internet. Wireshark gör det även möjligt att övervaka och analysera paketflödena i realtid och presenterar dessa i ett gra-fiskt gränssnitt. Attributen som karaktäriserar Wireshark ger administratörer möjlighet att felsöka problem i nätverket, undersöka säkerheten samt kontrollera hur enheter och applikationer nyttjar nätverket och uppkopplade enheter. [21]

(12)

2.8 Intrusion Prevention System

Ett Intrusion Prevention System (IPS) [22] är en mjuk- eller h˚ardvara implementerad i en IT-miljö. IPS:en gör det möjligt att i realtid övervaka och kontrollera trafik mot specifika signaturer i syfte att förhindra attacker och utnyttjandet av s˚arbarheter [23]. Systemet implementeras inline, det betyder att IPS:en implementeras mellan tv˚a enheter exempelvis enligt nedan:

Klientenhet → IPS → Switch

Enheten kan ¨aven placeras p˚a en strategisk plats i infrastrukturen exempelvis mellan olika kontorsn¨atverk enligt nedan:

Ekonomi → IPS → F orskning

Signaturerna som används av IPS:en är i sin enkelhet en uppsättning regler. Reglerna är uppbyggda för att para ihop trafiken som i realtid rör sig igenom IPS:en. Dessa matchas mot signaturerna vilka är uppbyggda med bland annat regler som gör kända attacker synliga och egenskapade regler för trafik som inte f˚ar röra sig mellan exempelvis olika nätverkssegment [22]. IPS:en kan konfigureras enligt tre övergripande metoder vilka är Signature-based, Anomaly-based och Policy-based. Signaturerna kan upprättas i tv˚a olika former, atomic- och stateful-signaturer.

2.8.1 Signature-based

En IPS som upprättas enligt signature-based-metoden konfigureras för att analysera tra-fikflödena och matcha dessa mot en databas som är uppbyggd av kända attacksignaturer. För att kunna matcha trafikflödena undersöks pakethuvudet samt informationen som skic-kas med i paketet. [24, p. 14]

2.8.2 Anomaly-based

En anomaly-based-enhet grundar sig i en förberedelseperiod där nätverket övervakas över tid för att ge IPS:en en först˚aelse över vad som är normalanvändning av nätverket. När normalen väl är upprättad kan IPS:en utifr˚an normalfallet detektera anomalier i trafik-flödena som färdas i nätverket. [24, p. 15 ]

2.8.3 Policy-based

Upprättas enheten enligt metoden Policy-based utg˚ar den fr˚an fördefinierade regler. Reg-lerna grundar sig generellt sett i parametrar som att till˚ata och neka trafik fr˚an specifika avsändare till de avsedda mottagarna över kända protokoll. [24, p. 15]

2.8.4 Atomic Signature

En atomic signature är den enklaste typen av signaturer. De bygger p˚a att undersöka ett paket eller ett event i taget. En atomic signature behöver ingen information om d˚atida eller framtida aktivitet i nätverket för att kunna utföra sina beslut över vad som ska göras med de specifika paketen. De behöver allts˚a inte övervaka hela trafikflöden utan matchar istället varje paket mot reglerna för att hitta och motverka ett eventuellt angrepp. [24, pp. 245 - 246]

(13)

2.8.5 Stateful Signature

En Stateful signature kontrollerar till skillnad ifr˚an en atomic signature hela trafikflöden för att skapa en bild av om det är ett eventuellt angrepp eller legitim trafik. Under kontrollen av paketflödet samlas delar av information in under en fördefinierad tid för att kunna matcha mot de specifika attacksignaturerna som samlats i databasen. [24]

2.9 Raspberry Pi

Raspberry Pi [25] är en mini-dator som skapats i syfte att vara ett solitt och ett kostnads-effektivt alternativ för att lära ut grundläggande datavetenskap i skolor. Första versionen släpptes 2012 och var utrustad med 256 Mb RAM. H˚ardvaran har utvecklats sedan dess och är numera utrustad med en kraftfullare processor och RAM vilket gör det möjligt att använda enheten till mer resurskrävande funktioner s˚a som en brandvägg eller IPS. För att ge h˚ardvaran sin funktionalitet krävs ett operativsystem. Linux är det föredragna ope-rativsystemet p˚a enheten med bland annat distributioner som Ubuntu och Debian vilka har specifikt framtagna distributioner för Raspberry Pi.

2.10 Brandv¨agg

En brandvägg är en säkerhetshöjande enhet som i sin enkelhet till˚ater och nekar olika typer av trafikflöden i nätverken. Enheten delar upp nätverket i olika zoner där dessa markerar ”omr˚aden” i nätverket, som antingen är säkra eller osäkra enligt vad administratören konfigurerat. Vidare agerar brandväggen som en vakt mellan zonerna där regler upprättas för att till˚ata eller blockera trafikflöden som rör sig mellan zonerna via brandväggen, se figur 6. Brandväggarna kan upprättas i en rad olika genomföranden, bland annat som Packet Filtering Firewall, Stateful Firewall, Proxy Firewall och Packet-Inspection Firewall.

Figur 6: Brandv¨agg: Ett n¨atverks insida och utsida

2.10.1 Packet Filtering Firewall

En packet filtering firewall grundar sina beslut p˚a parametrar som ˚aterfinns i den trafik som flödar i nätverken s˚a som; vilket protokoll som används, sändar- och mottagaradresser och vilken typ av tjänst trafiken tillhör. Reglerna som upprättas i en brandvägg av den här typen är statiska vilket betyder att de inte förändras över tid. Detta öppnar upp och kan ge en hacker en attackmöjlighet i det att nyttolasten som används vid attacken tunnlas igenom brandväggen vilket hade gett angriparen en öppning in i systemet. Den här typen

(14)

av brandvägg finns och g˚ar att konfigurera p˚a majoriteten av enheterna som ˚aterfinns i ett nätverk som exempelvis routrar, switchar och klientenheter, se figur 7 för en övergripande bild av hur en packet filtering firewall arbetar. [1]

Figur 7: Brandv¨agg: Packet filtering firewall [1]

2.10.2 Proxy Firewall

Proxy firewall arbetar p˚a lager sju i OSI-modellen. Lager sju är applikationslagret där tjänsterna som körs p˚a klientenheterna arbetar. Den här typen av brandvägg agerar i sin enkelhet som en mötesplats där tjänsten som körs p˚a klientenheten exempelvis en webbläsare vilken öppnar en hemsida möter hemsidans inneh˚all. Det klienten öppnar ett trafikflöde fr˚an sig själv till brandväggen som i sin tur öppnar ett flöde med sig själv som mottagare till hemsidan som efterfr˚agats. När flödet väl är upprättat reläar brandväggen hemsidan till klienten se figur 8. [1]

Figur 8: Brandv¨agg: Proxy firewall [1]

2.10.3 Reverse Proxy Firewall

En Reverse Proxy Firewall arbetar i stort p˚a samma s¨att som en Proxy firewall, skillnaden ¨

ar att denna fokuserar p˚a att skydda servern istället för klienten. En användare som efterfr˚agar en specifik resurs skickar d˚a denna via en proxy-server till den avsedda servern med resursen, vidare kan även brandväggen agera lastbalanserare och skicka förfr˚agan till flera olika servrar med samma resurs, se figur 9. [1]

(15)

Figur 9: Brandv¨agg: Reverse Proxy Firewall [1]

2.10.4 Packet-inspection Firewall

Tekniken Packet-inspection grundar sig i att brandväggen kontrollerar hela paketflöden mellan sändare och mottagare. Det vill säga fr˚an det att första paketet skickas till dess att sista paketet är mottaget kontrollerar brandväggen om trafikflödet är behörigt att föras in eller ut i nätverket. I paketflödet ˚aterfinns bland annat information om protokoll, sessioner, sändar- och mottagar-adress samt tjänstespecifik information, exempelvis vilka File Transfer Protokoll portar som används. Vidare arbetar brandväggen enligt följande flödesschema: en användare efterfr˚agar en specifik resurs p˚a servern, förfr˚agan färdas d˚a in i brandväggen som kontrollerar om förfr˚agan är behörig att passera ut mot resursen, i vissa fall kan brandväggen även undersöka nyttodatan som skickas. Processen syftas ofta till som deep-packet inspection. Om parametrarna överensstämmer med regelverket som upprättats i brandväggen släpps trafiken igenom och flödet fortsätter att övervakas. Returtrafiken kontrolleras även denna mot regelverket det vill säga att om trafiken som kommer tillbaka som svar p˚a fr˚agan är legitim eller inte. Anses trafiken legitim skickas den vidare till klienten och om inte filtreras den bort, se figur 10 för övergripande funktionalitet. [1]

(16)

3 Litteraturstudie

I M. R. DeLong et al. Dukes university’s protected network [26] undersöktes möjligheten att skydda forskarnas data vid Dukes universitet. Författarnas m˚al med arbetet var att genom säkerhetshöjande ˚atgärder och riktlinjer säkra känslig data som bearbetas av fors-karna, bland annat personuppgifter, hälsodeklarationer/journaler samt övrig skyddsvärd data. Arbetet inleddes med att säkerhetsklassa information i tre övergripande kategorier vilka var känslig, begränsad ˚atkomst och öppen. Kategoriernas respektive säkerhetsklass skapade en lägsta niv˚a där den öppna informationen inte ans˚ags vara lika skyddsvärd som informationen med begränsad ˚atkomst och den känsliga informationen. Arbetet fokuserade främst p˚a kategorin känslig information där bland annat personnummer och bankuppgif-ter ˚aterfanns.

Utredningen utgick fr˚an att övergripligt säkra upp systemet p˚a de intressanta fronterna, bland annat undersöktes möjligheten att segmentera upp infrastrukturen samt gransk-ning av autentiserings- och identitetskontroll. Systemet byggdes upp med hjälp av vir-tualisering och administrativa grupper för att effektivt kunna segmentera resurserna och ge användarna en flexibel upplevelse som samtidigt uppn˚adde författarnas fördefinierade krav p˚a IT-miljön.

I en studie utförd av C. H. Hsieh et al. [27] undersöktes övervakning av anomalier i Active Directories logghantering. Anomalierna av intresse var Advanced Persistent Th-reats (APT), vilket är hacking-processer som arbetar över l˚ang tid. APT kör kontinuer-liga processer i syfte att utnyttja s˚arbarheter i systemen när dessa hittats. Arbetet slog fast en lösningsmetod som grundade sig i att hot skulle synliggöras genom att övervaka användarkontons beteende i AD-loggarna. Vidare kontrollerade domänkontrollanten bete-endet ur loggarna. 95 konton övervakades under tv˚a m˚anader, under den tiden samlades 22.5 GB data till loggarna. Vidare analyserade författarna de skapade AD-loggarna in-neh˚allande användarkontonas beteende p˚a det lokala nätverket. Det visade sig dock att den valda algoritmen inte var optimal för ändam˚alet, författarna ans˚ag Markov-modellen ihop andra olika typer av loggar och kontexter kan vara av värde i det framtida arbetet med att övervaka om anomalier och insiderhot som förekommer i det lokala nätverket.

D. Chadwick utförde i Threat Modelling for Active Directory en undersökning i vilken hotbild som finns mot Active Directory och anslutna webbtjänster. Arbetet kartlade de ¨

overgipande hoten och attackerna som tjänsten kan utsättas för, bland dessa ˚aterfanns spoofing, eskalering av rättigheter, manipulering av data och Distributed Denial of Ser-vice (DDOS). Kartläggningen gav även upphov till metoder för att mildra eller förhindra angreppen helt. Metoderna som gjorde sig synliga i arbetet var bland annat; kryptering och autentisering av trafik som skickas via ett ”osäkert” nätverk, att via access-listor be-gränsa rättigheterna till AD samt begränsa vad klienten har möjlighet att skicka med i förfr˚agan till servern. [28]

En viktig aspekt att ta i beaktning är informationen som samlas i katalogtjänsterna om bland andra personal och kunder som i m˚anga fall är skyddsvärd. W. Claycomb et al. [29] undersökte problematiken i personlig information som inte var tillräckligt skyddad i IT-miljöerna. Idén grundade sig i en stor ökande mängd identitetsstölder. Författarnas fokus var att säkra upp informationen mot interna hot, exempelvis att en systemadmi-nistratör hämtar informationen för egen vinning, modifierar den eller raderar den helt.

(17)

Problematiken med obehörigas tillg˚ang till den personliga informationen arbetades till del bort genom användandet av virtuella kataloger som implementerades mellan klient och server samt användandet av distribuerade krypteringsnycklar. En vidareutveckling författarna fattade intresse för var att implementera lösningen ihop med existerande Pub-lic Key Infrastructure-system (PKI), för att minimera underh˚allet p˚a användarnas kryp-teringsnycklar och lösenord.

Litteraturen som undersökts tog bland annat ett helhetsgrepp över säkerheten i AD, IT-miljöerna, beteendemönster baserat p˚a hur användarkonton arbetade i det lokala nätverket och hur insiderhot mildras. I arbetet som utförs i den här rapporten fokuserar jag p˚a att hit-ta en lösning p˚a hur man kan göra AD mer robust i hur systemet behandlar förfr˚agningar till resurser hemmahörande i servern vilket ocks˚a blir mitt tillägg i diskussionen kring säkerhetsrelaterade arbeten med fokus p˚a Windows Server och katalogtjänsten AD.

(18)

4 Fr˚

agest¨

allning

En IT-miljö grundar sig generellt sett i en katalogtjänst vilken är den centrala punkt där användare, grupper, nätverksresurser och enheter samlas. Windows Server med tjänsten Active Directory är marknadsledande i segmentet [8]. D˚a Active Directory implementeras i miljöer med höga krav p˚a säkerheten s˚a som militära anläggningar och myndigheter, krävs ett gediget säkerhetsarbete för att säkerställa ett robust system. D˚a felsvar är ett hot och en eventuell attackvektor i ett IT-system krävs ett förebyggande arbete för att motverka dessa.

Arbetet syftar till att öka medvetenheten kring de hypotetiska s˚arbarheterna som finns i en katalogtjänst. Arbetet strävar även efter att definiera riktlinjer över hur en po-tentiell s˚arbarhet i ˚atkomstprinciper kan motverkas eller mildras samt hur ˚atgärderna kan säkerställas och p˚avisas. M˚alet med arbetet är att med hjälp av säkerhetshöjande ˚atgärder i form av en IPS och en brandvägg säkra upp katalogtjänstens ˚atkomstprinciper samt p˚avisa dessas funktionalitet. Teknikerna valdes ut baserat p˚a förm˚agan att i realtid analysera trafik och utifr˚an den analyserade trafiken utföra olika typer av fördefinierade ˚atgärder. Rapporten ämnar även att ge motiv för att arbeta proaktivt för att förebygga eventuella s˚arbarheter och hot i katalogtjänsternas ˚atkomstprinciper. Nedan presenteras fr˚ageställningarna som rapporten ska besvara:

1. Hur kan en IT-miljö utformas s˚a att en hypotetisk och allvarlig s˚arbarhet i katalog-tjänsten inte riskerar att äventyra viktiga ˚atkomstprinciper?

2. Hur kan de implementerade säkerhets˚atgärderna p˚a katalogtjänsten säkerställas och p˚avisas?

Fr˚agest¨allningarna kommer att besvaras med hj¨alp av nedanst˚aende delfr˚agor.

• Kan en katalogtjänsts ˚atkomstprinciper säkras upp med hjälp av ett Intrusion Pre-vention System?

• Kan ˚atgärden säkerställas och p˚avisas?

• Kan katalogtjänstens ˚atkomst- och autentiseringsprinciper skyddas med hjälp av en brandvägg?

• Kan ˚atgärden säkerställas och p˚avisas?

Den laboration som kommer att utföras utg˚ar fr˚an en generisk topologi som fokuserar p˚a den interna säkerheten i katalogtjänsten och alla dess lager, bland annat administrativa-användar- och ˚atkomstbehörigheter. Det underliggande nätverket kommer endast att agera transportkanal och kommer inte avhandlas ing˚aende i arbetet. Arbetet kommer inte heller ta hänsyn till den mänskliga faktorns p˚averkan p˚a säkerheten.

(19)

5 Metod

Inledningsvis utfördes en litteraturstudie i syfte att inhämta relevant information kring säkerhet i katalogtjänster samt vilka s˚arbarheter en katalogtjänst medför. De tidigare verken omsattes vidare i rapporten och skapade en stabil grund för det kommande arbetet i experimentfasen, se figur 11 för en övergripande bild över arbetsflödet.

Figur 11: ¨Overgripande arbetsfl¨ode

Experimenten som utfördes grundade sig i en statisk simulerad miljö där katalogtjänsten sattes i fokus. I experimentfasen implementerades säkerhets˚atgärderna stegvis i syfte att kontrollera hela arbetsflödet. Genom att använda en simulerad miljö kunde modifieringar p˚a tjänsterna göras utan n˚agra större ingrepp.

Den simulerade miljön bestod av ett nätverk som endast agerade transportkanal, ett god-tyckligt antal slutanvändare installerades samt en server. De tester som utfördes i den simulerade miljön kategoriserades in i olika scenarier. Scenarion upprättades för att ge oli-ka infallsvinklar p˚a hur ˚atkomstprinciperna kan skyddas. Miljön modifierades för att till˚ata olika typer av testfall där exempelvis enheter tillsattes för att kontrollera förfr˚agningar. Detta för att uppn˚a en adekvat metod för att höja säkerheten i systemet med avseende främst p˚a ˚atkomstprinciperna. Se figur 12 för en principskiss av scenariogrunden.

(20)

Scenarierna grundade sig i att ytterligare ett lager av skydd implementerades i syfte att göra systemet mer robust. Syftet med experimenten var att testa om förfr˚agningarna kun-de analyseras och ˚atgärda eventuella anomalier som uppmärksammats i flödena samt att forcera fram fel i hur servern svarar p˚a behörighetsregelverket.

Olika typer av säkerhetshöjande ˚atgärder implementerades i syfte att mildra effekten av att behörigheterna bröts. ˚Atgärderna var i form av exempelvis en IPS vilken implementera-des inline och kontrollerade förfr˚agningarna som skickades via enheten till serven, vidare gjorde IPS:en avvägandet om klienten var behörig till resursen eller inte. Denna struk-tur upprättades i ett scenario som virtualiserades i VirtualBox och GNS3. Mätningarna ¨

overvakades med Wireshark av den anledning att GNS3 stödjer programmet samt att funktionaliteten i Wireshark ger en djupg˚aende kunskap i paketens uppbyggnad och in-neh˚all. Den information som gick att utläsa i Wireshark lade även grunden för hur regel-verket i IPS:en skrevs. Ett teoretiskt resonemang arbetades även fram där en brandvägg agerade säkerhetshöjande ˚atgärd. Denna var tänkt att harmonisera analys, autentisering och auktorisation av användare och förfr˚agningar i symbios med katalogtjänsten.

6 Etik och samh¨

alleliga aspekter

D˚a arbetet inte inneh˚aller varken kvantitativa eller kvalitativa intervjuer samt att den si-mulerade laborationsmiljön är uppsatt och utförs privat i en miljö som ej p˚averkar omgiv-ningen ger arbetet i sig inte upphov till n˚agra etiska fr˚ageställningar. Implementeras IPS:er eller brandväggar enligt det föreslagna lösningsförslaget i ett produktionsnätverk kan det medföra ett övertramp p˚a bland annat personalens integritet. Detta d˚a trafiken analyse-ras och i vissa fall loggas för att analyseras b˚ade i realtid samt vid ett senare skede. Kan ¨

overtramp i form av otill˚aten kartläggning av den enskilda användarens användningsvanor i IT-systemen samt internet utföras? Fr˚ageställningar i enlighet med denna kan komma att behöva regleras och styras mot riktlinjer och gällande lagstiftning.

Undersökningen medför även vissa samhälleliga aspekter. För att sätta arbetet som helhet och katalogtjänsten i sitt sammanhang sett till verkligheten ska man vara väl medveten om att tjänsten är implementerad och verkar i stora som sm˚a företag, myndigheter, mi-litära anläggningar och andra skyddsobjekt. Katalogtjänsten är ett nav för administration av bland annat användares behörigheter. I och med den centrala del i ett IT-system som katalogtjänsten utgör krävs ett gediget arbete för att minimera exempelvis felsvar p˚a förfr˚agningar.

Ett felsvar kan i praktiken vara harmlöst men det kan även ge förödande konsekvenser där personer med ont upps˚at f˚ar tillg˚ang till hemliga dokument, funktioner och behörigheter i systemet. Felsvar som uppkommer i samhällskritisk infrastruktur s˚a som myndigheter och företag som tillhandah˚aller vitala tjänster och funktioner i samhället kan vara kritis-ka. I förlängningen kan felsvar även användas av externa aktörer och främmande makter som en attackvektor för att sl˚a ut funktionerna samt stjäla exempelvis hemlig informa-tion. Vidare kan även felsvar av katalogtjänsten som ger obehöriga tillg˚ang till exempelvis företagshemligheter ge upphov till ekonomisk vinning för individen eller aktören och i förlängningen en potentiell ekonomisk förlust för det avsedda företaget.

(21)

7 Design och genomf¨

orande av experiment

Arbetet grundade sig i olika typer av scenarion som skapades i tv˚a genomföranden. De olika scenarierna upprättades med samma grundtanke, vilken var att öka säkerheten i IT-systemet med fokus p˚a katalogtjänstens funktionalitet. Testfallen utgick fr˚an en grundto-pologi som byggdes upp modulärt för att möjliggöra enklare modifieringar i miljön för att n˚a de olika kraven p˚a testfallen.

7.1 Program

För att skapa testmiljön krävdes ett antal olika program och operativsystem. I centrum stod virtualiseringsmjukvarorna GNS3 och Virtualbox. Virtualbox är en open-source-mjukvara som gör det möjligt att virtualisera olika typer av operativsystem, vilket var väldigt användbart i de simulerade testerna. GNS3 användes i syfte att virtualisera n¨ atverks-enheterna samt att knyta ihop säcken med de virtualiserade operativsystemen i Virtual-box. Windows Server 2012 R2 spelade en stor roll i topologin d˚a Active Directory (Ka-talogtjänsten) installerades p˚a operativsystemet och enheten fungerade som en central administrativ punkt i grundtopologin. Vidare skapades bland annat en Linux-maskin som agerade IPS. IPS:en som valdes ut för ändam˚alet var open-source-mjukvaran Snort främst av den anledningen att denna är en mjukvara med öppen källkod vilket medför att mjukva-ran kan modifieras och konfigureras efter definierade behov. I Snort finns även möjligheten att skapa egna signaturer och uppsättningen av systemet var bekant. Snort gör det även möjligt att baserat p˚a de skapade reglerna utföra specifika ˚atgärder med de specifika tra-fikflöden som rör sig igenom enheten.

7.2 Scenario

Testfallen byggde p˚a tv˚a scenarier som b˚ada utgick fr˚an samma grundbult. Denna var att med säkerhetshöjande ˚atgärder göra systemet mer robust mot att behörighetsprinciperna bryts och ger obehörig personal eller aktörer tillg˚ang till skyddsvärda resurser. Scenario 1 bestod av grundtopologin med tillägget att en IPS implementerades medan scenario 2 grundade sig i en proxy brandvägg, vilken inte implementerades praktiskt.

7.2.1 Scenario 1 IPS

Ett Intrusion Prevention System konfigureras för att kontrollera viss typ av trafik. Den tra-fik som ska kontrolleras baseras p˚a AD-registrets uppbyggnad och användarnas/kontorens behörigheter i syfte att övervaka flöden, specifika mönster och baserat p˚a dessa kunna utföra fördefinierade ˚atgärder. Den trafik som matchas kontrolleras mot signaturer skapa-de ur katalogtjänstens behörighetsprinciper. Genom att IPS:en analyserar trafikflödena och jämför dessa mot signaturerna i realtid kan enheten godkänna eller underkänna förfr˚agningarna. IPS:en placeras i trafikflödet (inline), detta för att ge enheten möjlighet att agera p˚a anomalier i trafikflödena vilka är obehöriga försök att n˚a specifika resurser, se figur 13 för en översiktsbild över IPS-topologin.

(22)

Figur 13: ¨Oversiktsbild f¨or scenario 1: Analys (IPS)

7.2.2 Uppr¨attandet av scenario 1

Experimentfasen delades in i tv˚a testfall med olika konfigurationer där b˚ade praktiska och teoretiska tillämpningar ingick. Grundtopologin som användes bestod av en Windows Ser-ver virtualiserad i Virtualbox med tjänsten Active Directory. Enheten importerades vidare in i GNS3 där den underliggande nätverksinfrastrukturen även virtualiserades, enligt Figur 14. En virtualiserad Linuxmaskiner upprättades och huserade bland annat IPS-mjukvaran Snort. Uppbyggnaden av IPS-scenariot enligt nedan:

Operativsystem • Windows Server 2012 R2 • Ubuntu Mate 16.04 LTS • Windows 7 Mjukvara • Active Directory • Snort Topologi • Tr¨adstruktur

(23)

Figur 14: Topologi f¨or scenario 1: Analys (IPS)

AD upprättades i en grundläggande konfiguration där en skog skapades med ett tillhörande träd och en domän. I denna konfigurerades tv˚a användare med en hemmapp för respek-tive användare där de endast fick tillg˚ang till den egna hemmappen. En switch imple-menterades för att kunna förmedla trafiken mellan ändnoderna. I syfte att ge systemet en säkerhetshöjande funktion implementerades en IPS. Denna upprättades transparent mel-lan klient och switch för att trafiken som skickades fr˚an klienten till servern skulle passera igenom enheten, se.

7.2.3 Uppr¨attandet av IPS

IPS:en konfigurerades som tidigare specificerat mellan slutanvändaren/kontoret och swit-chen vilket tvingade trafiken genom enheten. För att ge Snort möjlighet att analysera den specifika trafiken utan n˚agon inverkan av de tidigare specificerade signaturerna togs de ur bruk för att eliminera den felkällan. En enklare signatur skapades för att belysa IPS:ens p˚averkan p˚a ett IT-system, se tabell 3 för en översiktsbild över IPS:ens default˚atgärder.

Tabell 2: Signaturens default ˚atg¨arder

Alert Alert-parametern instruerar Snort att alarmera och logga de specifika paketfl¨odena med den efters¨okta in-formationen.

Log Loggar paketet.

Pass Sl¨apper igenom paketet.

Activate Larmar och k¨or ytterligare en dynamisk regel. Dynamic Ligger latent och v¨antar p˚a att aktiveras av activate. Drop Kastar paketet och loggar det.

Reject Droppar, loggar och och skickar ett paket f¨or att ˚aterst¨alla TCP-sessionen

Sdrop Kastar endast paketet utan att logga n˚agon informa-tion om ˚atg¨arden.

(24)

Signaturen skapades genom att inledningsvis analysera trafikflödets uppbyggnad för att kunna utläsa vilka parametrar signaturen skulle eftersöka. Signaturen skapades i enlighet med figur 15 och 16.

Figur 15: ¨Oversikt signatur

Figur 16: Signaturens upps¨attning

Signaturen som anv¨andes var sammansatt av en rad parametrar och variabler som har-moniserades enligt tabell 4.

Tabell 3: Signaturens upps¨attning

Alert Alert-parametern instruerar Snort att alarmera och logga de spe-cifika paketfl¨odena med den efters¨okta informationen.

TCP Specificerar vilket eller vilka protokoll som ¨ar av intresse.

Variabel (HOMENET) En variabel som h˚aller det lokala nätverket, detta för att snabbt kunna delge Snort vilket/vilka nätverk som ska säkras upp. Port (Alla eller specifika

por-tar)

Specificerar vilka portar ofta protokollspecifika, som ska analyse-ras.

− > (<>, < −) Riktningstecknen klargör vilken riktning som är intressant. MSG (Message) Specificerar vilket meddelande som ska visas i loggarna när en

h¨andelse intr¨affar.

Content Specificerar vilken nyttodata som efters¨oks.

Nocase Funktion som gör det möjligt för IPS:en att f˚anga alla kombinatio-ner av den eftersökta strängen (Stor och liten bokstav behandlas lika).

SID Ett ID f¨or den skapade regeln.

7.3 Funktion

Det lokala nätverket byggdes upp med statisk adressering i adresspannet 192.168.1.0/24. Med detta menas att p˚a b˚ade server och klient applicerades IP-adressen manuellt. Vida-re implementerades IPS:en transpaVida-rent mellan klient/kontor och switch. För att uppn˚a transparens skapades en brygga mellan tv˚a interface p˚a maskinen utan adress. För att detta ska vara möjligt installeras först bridge-utils p˚a maskinen, se tabell 5 för konfigura-tionsexempel i upprättandet av nätverksbrygga i linux.

(25)

Tabell 4: Uppr¨attandet av n¨atverksbrygga

brctl addbr br0 Kommando f¨or att uppr¨atta en brygga vid namn br0.

brctl addif br0 eth0 eth1 Specificerar vilka interface som ska vara en del av bryggan, i detta fall ska eth0 .

brctl stp br0 on/off Sl˚a p˚a eller sl˚a av STP p˚a bryggan.

Väl implementerat kunde Snort köras, detta med hjälp av kommandot nedan samt se tabell 6 för en mer detaljerad bild av vad de olika parametrarna tillför:

snort -A console -c /etc/snort/snort.conf -i eth0:eth1

Tabell 5: Snort parametrar

Snort Startar mjukvaran

-A console Specificerar att alerts skrivs ut i konsolen d¨ar mjukvaran initierats. -c /etc/snort/snort.conf Specificerar vilken konfigurationsfil som Snort ska k¨oras ifr˚an -i eth0:eth1 Specificerar vilka interface som ing˚ar i bryggan.

7.3.1 Scenario 2 brandv¨agg

Det teoretiska genomförandet grundade sig i att bygga upp ytterligare barriärer som en form av säkerhetshöjande ˚atgärd i IT-systemet. I detta fall valdes en brandvägg som even-tuell ˚atgärd. Grundidén i detta scenario var att placera en brandvägg i anslutning till respektive kontor genom att segmentera brandväggen till kontoren p˚a portbasis för att nyttja hela resursspektrumet i brandväggen istället för att implementera en brandvägg för respektive nätverkssegment.

Brandväggen placeras i anslutning till respektive kontor i syfte att segmentera samt tillföra autentisering och en form av auktorisation av rättigheterna för respektive kon-tor/användare, detta i symbios med katalogtjänsten. Brandväggen konfigureras med re-gister hämtade fr˚an AD för att kunna kontrollera och godkänna förfr˚agningar som ska vidare till eller kommer ifr˚an servern. Brandväggen placeras transparent i trafikflödet ut fr˚an ett visst nätverkssegment och konfigureras med en egen uppsättning regler för de konton som innefattas i organisationen. Genom att konfigurera de enligt ovanst˚aende krite-rier upprättas en typ av utbyggd autentisering där brandväggen ger tillg˚ang till nätverket och brandväggen i symbios med AD ger användarna behörighet till de avsedda resur-serna baserat p˚a användarnas behörighetsprinciper, se figur 14 för en översiktsbild över brandväggsfallet.

(26)

Figur 17: Översiktsbild för scenario 2: Brandvägg

8 Resultat

Experimentet som utfördes i de simuleringar med IPS:en som huvudkomponent gav i slut-skedet ett positivt resultat i det att det tänkta resultatet till viss del uppn˚addes. I testerna som utfördes analyserades möjligheten att upptäcka och blockera specifik trafik avsedd för resurser som användaren inte hade tillg˚ang till utan f˚att det genom att servern svarat fel p˚a en förfr˚agan. Trafiken matchades mot en signatur som eftersökte en specifik parame-ter, denna var |A|00|r|00|b|00|e|00|t|00|e| (Arbete) som var en hemmapp skapad i testsyfte.

I testerna som utfördes skickades förfr˚agningar fr˚an en användare till resursen Arbete som användaren i praktiken inte skulle vara behörig till. Förfr˚agningarna mellan klient och server f˚angades upp och alarmerade i Snort. I figur 18 g˚ar det att utläsa bland annat meddelandet som genereras vid ett eventuellt övertramp samt mellan vilka enheter och vilka portar som använts. Port 445 är standardporten för SMB-förfr˚agningar som klient och server använder när klienten inhämtar information ur mappstrukturen.

Figur 18 förevisar hur IPS:en betedde sig när filer skapades i mappen. I den högra de-len av bilden skapas filerna i mappen arbete p˚a en virtuell Windows 7 klient. Den vänstra delen av bilden förevisar att IPS:en alarmerar vid skapandet av filerna, se även figur 19 för en mer högupplöst bild över utslagen i IPS:en.

(27)

Figur 18: Utslag p˚a behörighetsöverträdelse

Figur 19: Utslag p˚a behörighetsöverträdelse IPS

8.1 IT-systemets utformning

I och med experimentets utfall kunde fr˚agan om hur en IT-miljö kan utformas för att skyd-da behörighetsprinciperna besvaras. Genom att inledningsvis upprätta ett robust nätverk och en logisk struktur i katalogtjänsten med tydliga behörigheter per användare samt för grupper av användare kan det externa säkerhetsarbetet p˚abörjas där IPS:en imple-menteras. IPS:en implementeras förslagsvis i trafikflödenas riktning och i inline-läget för att möjliggöra optimala funktionsförh˚allanden som är bland annat möjligheten att styra ˚atgärderna till att blockera, till˚ata och alarmera de eftersökta paketflödena.

(28)

Beroende p˚a hur nätverket ser ut där IPS:en ska implementeras krävs därför ett gediget förarbete och planering kring hur miljön ser ut vilka som ska f˚a tillg˚ang till respektive resurs, hur signaturerna ska skrivas för att göra dem tillräckligt inkluderande för att ef-fektivt kunna analysera och ˚atgärda anomalierna i paketflödena. Genom att implementera en s˚adan lösning kan vi effektivt bygga upp ytterligare en barriär för att motverka att katalogtjänsten svarar fel p˚a en förfr˚agan.

8.2 Säkerställandet av säkerhets˚atgärden

Genom att implementera en säkerhets˚atgärd som kontrollerar behörigheterna fr˚an och till servern har vi effektivt byggt upp ytterligare en barriär i systemet. Detta medför att tv˚a av varandra oberoende skydds˚atgärder, vilka är skyddet som IPS:en tillför samt katalog-tjänstens egna kontroller p˚a behörigheterna, är implementerade. Med de tv˚a ˚atgärderna mildras effekten av att katalogtjänsten svarar fel p˚a en förfr˚agan. Om ett felsvar lämnar servern kommer det f˚angas upp i IPS:en som i sin tur utför en fördefinierad ˚atgärd. Om det tvärtom är IPS:en som släpper igenom ett fel kommer katalogtjänsten neka förfr˚agan och p˚a s˚a sätt kan systemet anses säkrare i det att b˚ada skyddsmekanismerna m˚aste fallera samtidigt för att ett felsvar realiseras och p˚averka systemet som helhet.

8.3 Teoretiska scenariot

Det visade sig efter att ha undersökt funktionaliteten i brandväggar med öppen källkod att stödet för upprättandet av en likvärdig enhet med den eftersökta typen av funktio-nalitet inte fanns. De implementationer som var av intresse i arbetet var bland annat att installera en eller flera proxy brandväggar d˚a den typen av brandvägg skiljer sig fr˚an mängden i det att till skillnad fr˚an exempelvis en Packet Filtering Firewall och Packet-inspection Firewall gör det möjligt att initiera ett flöde till brandväggen som i sin tur initierar flödet till den avsedda servern och reläar informationen tillbaka till användaren. Detta hade i teorin gjort det möjligt att utföra autentisering- och auktoriseringskontroller p˚a flödet i brandväggen. Proxy brandväggen var tänkt att konfigureras inline för att seg-mentera upp kontoren, inneha autentiseringsuppgifter och husera användarnas rättigheter.

Upprättandet av en s˚adan lösning hade gett systemet en form av autentisering samt auk-torisation vilken i teorin är en väldigt intressant tanke i det att IPS-funktionalitet, auten-tisering och auktorisation samlas p˚a ett centraliserat eller distribuerat brandväggssystem. Användaren hade i praktiken behövt autentisera sig mot katalogtjänsten samt att dennes behörigheter även kontrollerades p˚a nytt. Väl autentiserad var tanken att b˚ade brandväggen och katalogtjänsten övervakar användarens förfr˚agningar till de specifika resurserna. Om detta experimentet och den eftersökta funktionalitet hade g˚att i l˚as skulle den eftersökta barriären kunna upprättas och katalogtjänstens skydd hade varit mer robust. Till detta kan även RADIUS implementeras för att motverka att en användare lyckas logga in i AD och nyttja nätverket utan att ha behörighet till det.

(29)

9 Diskussion

Arbetet grundade sig i att utöka katalogtjänstens skydd. Detta genom att med s¨ akerhets-höjande ˚atgärder bygga upp en barriär mot eventuella felsvar fr˚an en server. Som specifice-rat under resultatet visades utslag p˚a den eftersökta trafiken vilket ger en stark indikation p˚a att en IPS absolut kan vara av värde i att säkra upp ˚atkomstbehörigheterna i ett IT-system. Med experimenten som grund kan det även utläsas att genom implementatio-nen av en IPS skapas ytterligare ett skydd utöver katalogtjänstens egna kontroller och p˚a s˚a vis krävs det att b˚ade IPS:en och katalogtjänsten samtidigt ska missförst˚a en fr˚aga och godkänna en användare som inte är behörig för att ˚atkomstprinciperna ska brytas helt. Genom att ha uppn˚att ovanst˚aende har även fr˚ageställningen besvarats i det att om IT-miljön utformas med IPS kan vi bygga upp ett extra skydd för ˚atkomstprinciperna samt säkerställa och p˚avisa att dessa h˚aller det som lovats s˚a länge inte b˚ada ˚atgärdernas funktionalitet bryts samtidigt, i ett s˚adant fall hade felsvaren realiserats trots de imple-menterade ˚atgärderna.

I experimentet som utfördes visade det sig att de upprättade signaturerna kan hitta och agera p˚a trafikflöden hemmahörande i katalogtjänsten. Däremot kan dessa inte anses de-finitiva i det att experimentet modifierades d˚a problem uppstod i hur Snort betedde sig i inline-läget. Beteendet som uppvisades var inte tillfredsställande och ställde till med problem i hela miljöns funktionalitet. Det lokala nätverket fick en oregelbunden kontakt mellan enheterna som implementerades p˚a respektive sida av IPS:en. Genom att undersöka problematiken med hjälp av bland annat Wireshark gick det att utläsa att vissa paket som färdades med samma protokoll gick igenom enheten medan andra inte gjorde det. Under analysen av beteendet kopplades alla fördefinierade och egenskapade signaturer bort för att utesluta signaturernas p˚averkan, detta med samma resultat som tidigare specificerat, vilket var att kontakten mellan enheterna fortfarande var oregelbunden. Detta tvingade scenariot att struktureras om n˚agot i det att IPS:en inte konfigurerades funktionsmässigt i inline-läget. Däremot implementerades den inline i miljön och lät trafiken flöda och av den anledningen kunde inte heller paketen behandlas med parametrar som att blockera och kasta trafik d˚a dessa endast är tillgängliga i inline-läget. Alarm-funktionen kunde dock användas istället för att p˚avisa vikten av en välkonfigurerad IPS. Detta var en tyd-lig begränsning i experimentfasen men det gav inte upphov till att förkasta resultatet d˚a eftersökt utslag gjorde sig synligt.

Vidare skapades endast en enklare signatur vilken bara eftersökte förfr˚agningar till den specifika mappen Arbete i trafikflödet. Denna signatur fungerade bra för att p˚avisa effekten men för att implementera en liknande lösning i en produktionsmiljö krävs större eftertanke i skapandet av signaturerna. De kan d˚a behöva vara n˚agot mer inkluderande av användare, behörighetsprinciper samt vilken typ av trafik som eftersöks. Signaturen skapades medve-tet i det statiska genomförandet för att förevisa den säkerhetshöjande funktionen men det medför även att den begränsas d˚a den inte är redo för att sättas i bruk i sin nuvarande form utan behöver mer eftertanke och modifikation för det specifika scenariot den ska implementeras i.

IPS:en och signaturerna matchar till viss del baserat p˚a IP-adresser vilket medför att det kan bli sv˚art att h˚alla signaturerna uppdaterade med de specifika adresserna som delas ut med hjälp av DHCP d˚a dessa över tid förändras kontinuerligt. Ytterligare en begränsning som visade sig, var att det kan vara sv˚art att h˚alla isär användare beroende p˚a hur miljön

(30)

ser ut samt hur klienter hanteras i IT-miljön. Detta om flera användare nyttjar samma enhet, vilket medför att de ”nya” användarna som nyttjar h˚ardvaran kan överta tidigare användares IP-adress. Detta hade d˚a genererat en false positive, vilket syftar till att en behörig användare blir begränsad ˚atkomst till en viss resurs. Genom att i symbios med servens riktlinjer p˚a hur IP-adresser delas ut till respektive användare, hur dess regler ser ut och god insyn i IT-miljön kan denna problematik i teorin motverkas.

En rekommendation om en IPS-lösning ska användas är att styra signaturerna baserat p˚a olika nätverkssegment istället för per adress d˚a dessa förändras över tid. Med andra ord de olika adresspann som delas ut av DHCP som exempelvis guppen Ekonomi med ett definierat och statiskt adresspann konfigureras med specifika resurser och baserat p˚a rättigheterna och adresspannet upprättar man en eller flera signaturer för att säkerställa att nätverkssegmentet inte f˚ar tillg˚ang till resursen om detta inte är önskvärt. Beroen-de p˚a var IPS:en implementeras krävs det olika dimensionerad h˚ardvara där det i vissa fall kan räcka med att upprätta en Raspberry Pi med Snort och i andra fall kan det krävas enterprise-serverh˚ardvara, detta för att IPS:en ska kunna analysera trafikflöden och ˚atgärda dessa där behovet finns effektivt.

För att kunna skapa en bra signatur krävs även god insyn i systemet där denna ska imple-menteras, bland annat i vilka tjänster som används, vilken trafik som flödar samt god insyn i katalogtjänsten och behörigheterna. Vidare gäller även att informationen säkerhetsklassas för att göra det tydligt i vad som förväntas skyddas.

Experimentet med brandväggen visade sig vara ogenomförbart p˚a grund av att stöd för den eftersökta funktionaliteten inte var möjlig att f˚a i de mjukvarorna med öppen källkod som kontrollerades. Varken pfSense eller Sophos hade n˚agot uttalat stöd för att kunna autentisera och auktorisera användarna mot katalogtjänsten enligt den tänkta metoden. Om möjligheten fanns att kunna implementera brandväggsregler, IPS-funktionalitet, au-tentisering och auktorisation av användare i en och samma enhet hade det medfört att en mer komplett och robust säkerhetshöjande ˚atgärd hade kunnat implementeras.

10 Slutsatser

Med fr˚ageställningarna som grund i arbetet var förhoppningen att hitta metoder som gjor-de gjor-det möjligt att mildra och/eller förhindra en hypotetisk s˚arbarhet vilken var att servrar med katalogtjänster eventuellt svarar fel p˚a förfr˚agningar och ger obehöriga användare el-ler organisationer tillg˚ang till resurser som de inte är behöriga till.

Vidare undersöktes det om en IPS kunde mildra och/eller motverka felsvar vilket visa-de sig vara möjligt. Detta uppn˚addes genom att kontrollera trafikflöden fr˚an olika källor och analysera paketen för att baserat p˚a uppsättningen regler kunna ˚atgärda de eventuella behörighetsöverträdelserna. Däremot resulterade inte arbetet i en definitiv signatur som passar alla IT-miljöer utan p˚avisar funktionaliteten, vidare krävs därför att signaturerna skapas i syfte att n˚a den avsedda IT-miljöns krav.

Grundidén var att med hjälp av säkerhetshöjande ˚atgärder bygga upp ytterligare bar-riärer av skydd utöver serverns egna. En brandvägg var även tänkt att agera barriär i IT-systemet men det visade sig att det inte fanns stöd för funktionalitet som bland annat autentisering och auktorisering av användare. IPS:en byggde effektivt upp ytterligare en

(31)

barriär utöver katalogtjänstens egna säkerhet vilket gav den eftersökta funktionaliteten. P˚a grund av att b˚ade IPS:en och katalogtjänsten samtidigt m˚aste ta fel p˚a förfr˚agningarna för att ett felsvar faktiskt ska realiseras kan vi baserat p˚a detta p˚avisa ˚atgärdens signifikans sett till säkerheten.

11 Framtida arbete

Vid framtida arbeten kring fr˚agan om ˚atkomstprinciper kan brytas p˚a grund av fel i servrars svar p˚a förfr˚agor till specifika resurser krävs ett gediget arbete kring signaturernas utformning baserat p˚a vilka IT-miljöer dessa ska implementeras i. Det bör även eftersträvas att uppn˚a ett stadie p˚a hur IPS:en behandlar förändringar i nätverk och behörigheterna p˚a ett strukturerat sätt. Vidare bör det även undersökas om det är möjligt att med hjälp av dynamiska signaturer som skapas i symbios med Active Directory kan styra anv¨ andar-och behörighetsregister. För att kunna implementera brandväggen i det genomförande som beskrivs i arbetet krävs först och främst stöd för funktionaliteten därefter kan idén utvecklas vidare samt praktiskt implementeras.

(32)

Referenser

[1] R. Blair and A. Durai, “Chapter 1: Types of firewalls,” [Online]. Available: https: //www.networkworld.com/article/2255950/lan-wan/chapter-1--types-of-firewalls. html?page=2, Date last accessed on 2018-04-23.

[2] Myndigheten för samhällsskydd och beredskap (MSB), Vägledning – in-formationssäkerhet i upphandling. MSB, April,2013. [Online]. Available:

https://www.msb.se/RibData/Filer/pdf/26589.pdf

[3] Försvarsmakten, “Ksf:krav p˚a it-säkerhetsförm˚agor hos it-system,” [Online]. Availab-le: http://isd.fmv.se/Documents/krav-pa-godkanda-sakerhetsfunktioner-version-3-1. pdf, Date last accessed on 2018-03-06.

[4] Z. Rosander, S. Styrenius och A. Wiklund, Säkerhetskrav p˚a IT - system som är avsed-da för behandling av personuppgifter. Försvarsmakten, 2013 - 06 -26. [Online]. Avai-lable:http://isd.fmv.se/Documents/HKV%202013-06-26%2010%20750.59802%20S% c3%a4kerhetskrav%20IT-system%20avsedda%20f%c3%b6r%20personuppgifter.pdf

[5] W. Panek and J. Chellis, MCTS Windows Server 2008 Active Directory Configuration Study Guide: Exam 70-640. Wiley, 2012.

[6] B. Desmond, J. Richards,R. Allen and A.G. Lowe-Norris, Active Directory: Designing, Deploying, and Running Active Directory. O’Reilly Media, 2013.

[7] D. Stiawan, M. Yazid Bin Idris, A. Hanan Abdullah, M. AlQurashi and R. Budiarto, “Penetration testing and mitigation of vulnerabilities windows server,” I. J. Network Security, vol. 18, no. 3, pp. 501–513, 2016.

[8] P. Tsai, “Server virtualization and os trends,” [Online]. Available:https://community. spiceworks.com/networking/articles/2462-server-virtualization-and-os-trends, Date last accessed on 2018-01-29.

[9] C. Metz, “Aaa protocols: authentication, authorization, and accounting for the inter-net,” IEEE Internet Computing, vol. 3, no. 6, pp. 75–79, Nov 1999.

[10] C. Rigney, S. Willens Livingston, A. Rubens Merit and W. Simpson Daydreamer, “Remote Authentication Dial In User Service (RADIUS),” Internet Requests for Comments, RFC Editor, RFC 2818, June 2000. [Online]. Available:

http://www.rfc-editor.org/rfc/rfc2865.txt

[11] S. Geri´c and ˇZ Hutinski, “Information system security threats classifications,” Journal of Information and organizational sciences, vol. 31, no. 1, pp. 51–61, 2007.

[12] D. Piscitello, “Threats, vulnerabilities and exploits – oh my!” [Online]. Available:

https://www.icann.org/news/blog/threats-vulnerabilities-and-exploits-oh-my, Date last accessed on 2018-02-26.

[13] M. E. Whitman, “Enemy at the gate: threats to information security,” Communica-tions of the ACM, vol. 46, no. 8, pp. 91–95, 2003.

[14] D. Kamal, M. Bassil and T. Ahmad Bisher, “A survey of risks, threats and vulnerabilities in cloud computing,” in Proceedings of the 2011 International Conference on Intelligent Semantic Web-Services and Applications, ser. ISWSA

(33)

’11. New York, NY, USA: ACM, 2011, pp. 12:1–12:6. [Online]. Available:

http://doi.acm.org/10.1145/1980822.1980834

[15] J. Stamp, A. McIntyre and B. Ricardson, “Reliability impacts from cyber attack on electric power systems,” in Power Systems Conference and Exposition, 2009. PSCE’09. IEEE/PES. IEEE, 2009, pp. 1–8.

[16] M. Portnoy, Virtualization essentials. John Wiley & Sons, 2012, vol. 19.

[17] R. Birke, A. Podzimek, L. Y. Chen and E. Smirni, “State-of-the-practice in data center virtualization: Toward a better understanding of vm usage,” in 2013 43rd Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN), June 2013, pp. 1–12.

[18] Oracle, “Virtualbox manual ch01,” [Online]. Available:https://www.wireshark.org/ about.html, Date last accessed on 2017-04-10.

[19] D. Bombal and J. Duponchelle, “Getting started with gns3,” [Online]. Available:

https://docs.gns3.com/1PvtRW5eAb8RJZ11maEYD9 aLY8kkdhgaMB0wPCz8a38/ index.html, Date last accessed on 2018-02-26.

[20] J. C. Neumann, The Book of GNS3: Build Virtual Network Labs Using Cisco, Juniper, and More. No Starch Press, 2015.

[21] L. Chappell and G. Combs, Wireshark network analysis: the official Wireshark certi-fied network analyst study guide. Protocol Analysis Institute, Chappell University, 2010.

[22] A. Abdelkarim and H. Nasereddin, “Intrusion prevention system,” vol. 3, pp. 432–434, 01 2011.

[23] Palo Alto, “What is an intrusion prevention system?: Intrusion prevention and detection system basics,” [Online]. Available: https://www.paloaltonetworks.com/ cyberpedia/what-is-an-intrusion-prevention-system-ips, Date last accessed on 2018-03-16.

[24] D. Burns, O. Adesina and K. Barker, CCNP security IPS 642-627 official cert guide. Cisco Press, 2011.

[25] S. Jain, A. Vaibhav and L. Goyal, “Raspberry pi based interactive home automation system through e-mail,” in 2014 International Conference on Reliability Optimization and Information Technology (ICROIT), Feb 2014, pp. 277–280.

[26] M. R. DeLong, A. Ingham, R. Carter, R. Franke, M. Wehrle, R. Biever, and C. Kneifel, “Protecting sensitive research data and meeting researchers needs: Duke university’s protected network,” 1710.03317, 2017.

[27] C. H. Hsieh, C. M. Lai, C. H. Mao, T. C. Kao and K. C. Lee, “Ad2: Anomaly detection on active directory log data for insider threat monitoring,” in 2015 International Carnahan Conference on Security Technology (ICCST), Sept 2015, pp. 287–292.

[28] D. Chadwick, “Threat modelling for active directory,” in Communications and Mul-timedia Security. Springer, 2005, pp. 173–182.

(34)

[29] W. Claycomb and D. Shin, “Protecting sensitive information in directory services using virtual directories,” in International Conference on Collaborative Computing: Networking, Applications and Worksharing. Springer, 2008, pp. 244–257.

[30] The Snort Team, “Snortusers manual 2.9.11,” [Online]. Available: http:// manual-snort-org.s3-website-us-east-1.amazonaws.com/node1.html, Date last acces-sed on 2018-05-15.