Cockpit modul for administrasjon av Suricata IDS
Bachelor thesis
Permanent lenke
https://hdl.handle.net/11250/2781198Utgivelsesdato
2021Metadata
Vis full innførselSamlinger
Sammendrag
Seksjon for Digital Sikkerhet ved NTNU har hovedansvaret for deteksjon, sikkerhetsanalyse og hendelsesrespons. I et forsøk på å etablere et nytt datasikkerhetssenter for forskning og utdanning, har seksjonen ingått et samarbeid med Uninett AS og UiO CERT. Èn del av dette datasikkerhetssenteret er «Sensorplattform» som har som mål å bygge den neste generasjon av nettverks baserte IDS-sensorer for utdanningssektoren. Hovedmålet med denne oppgaven er å redusere langtekkelige administrative og operasjonelle oppgaver med Suricata IDS ved å utvikle en web-basert modul basert på administrasjons grensesnittet Cockpit. Modulen tillater Suricata administratorer å enkelt starte, stoppe og restarte Suricata tjenesten uten å måtte bruke tekst-baserte kommandoer. I tillegg til dette vil modulen vår støtte et brukervennlig grafisk grensesnitt for å administrere IDS-signaturer. Administratorer vil også kunne bruke modulen vår til å enkelt se den nåværende status for deres Suricata tjenester, se tilsvarende tjeneste logger, og få oppdatering på alle alarmer som er generert av Suricata. Denne oppgaven begynner med å beskrive bakgrunns informasjon om IDS, Suricata og Cockpit. Videre vil vi definere krav, forklare utviklingsprosessen, og hvordan vi designet og implementerte modulen. Til slutt diskuterer vi evalueringen av modulen og konkluderer med våre tanker rundt prosjektet før vi diskuterer hva som kan forbedres i videre arbeid. Section for Digital Security at NTNU has the main responsibility for detection, security analysis and incident response. In an effort to establish a new cyber security center for research and education, this section has entered a collaboration with Uninett AS and UiO CERT. One part of the cyber security center is the ''Sensorplattform'' which aims to build the next generation of network based IDS-sensors for the education sector. The main goal of this project is to reduce the tedious administration and operation tasks of Suricata IDS by developing a web-based module based on the administration interface Cockpit. The module enables Suricata administrators to easily start, stop and restart the Suricata service without having to use text-based commands. In addition, our module supports a user-friendly graphical interface for administrating IDS-signatures. Administrators are also able to use our module to easily check the current status of their Suricata services, view the corresponding service logs, and get update on all the alerts generated by Suricata. This thesis begins with background information about Intrusion Detection Systems, Suricata and Cockpit. Further on, we define requirements, explain our development process, and how we designed and implemented the module. Lastly, we discuss the evaluation of the module and conclude with our final thoughts on the project before we discuss what can be improved with future work.