atg arder f or att motverka sakerhetsbrister i...

Malardalens HogskolaAkademin for Innovation Design och Teknik

Vasteras, Sverige

Examensarbete for hogskoleingenjorsexamen i natverksteknik 15hp

ATGARDER FOR ATT MOTVERKA

SAKERHETSBRISTER I

KATALOGTJANSTER

Johan [email protected]

Examinator: Mats BjorkmanMalardalen Hogskola, Vasteras, Sverige

Handledare: Sara LundahlMalardalen Hogskola, Vasteras, Sverige

Helena InnergardEngvall Security AB, Vasteras, Sverige

Ort: Vasteras

16 maj 2018

Malardalen Hogskola Johan Hanna

Sammanfattning

Katalogtjanster ar och forblir en central och kritisk del i informationssystem. I katalog-tjansterna samlas stora mangder information om anvandare och behorigheter for respek-tive anvandare. I hogriskmiljoer, dar bland annat hemlig och annan skyddsvard informa-tion samlas, ar katalogtjansterna i en utsatt situation. Om en katalogtjanst svarar fel paen resursforfragan kan konsekvenserna vara stora. Arbetet grundade sig i att med hjalpav olika sakerhetshojande atgarder bygga upp ett mer robust system for att skydda ka-talogtjansten mot att behorighetsprinciperna bryts och ger obehorig personal eller andraaktorer tillgang till skyddsvarda resurser. Arbetet syftade till att oka medvetenheten kringde hypotetiska sarbarheterna som finns i en katalogtjanst och baserat pa detta resulte-ra i hur de potentiella sarbarheterna i atkomstprinciperna kan motverkas eller mildras.For att uppna detta resonerades det fram tva testfall varav ett teoretiskt. Dessa byggdepa att ett Intrusion Prevention System (IPS) implementerades i ett av testfallen och enbrandvagg i det andra teoretiska fallet. Bada atgarderna implementerades i trafikflodetsriktning i respektive natverkssegment for att kontrollera anvandarnas behorigheter i real-tid. Testfallen byggdes upp simulerat med hjalp av bland annat GNS3 och Virtualbox. Detexperiment som upprattades med IPS:en som huvudkomponent gav ett positivt utfall darenheten med hjalp av en uppsattning regler kunde utlasa specifika trafikfloden till resursersom den avsedda anvandaren inte hade tillgang till och baserat pa detta utfora olika ty-per av atgarder. Experimentet med brandvaggen gav daremot inte onskat resultat, dettaberodde pa att det inte fanns stod for den eftersokta funktionaliteten i de brandvaggarmed oppen kallkod som undersoktes for implementationen. Det resultat som genereradesmed hjalp av IPS:ens formaga att analysera trafik i realtid och baserat pa detta utforafordefinierade atgarder betyder att det effektivt kan byggas upp ytterligare en barriar avskydd utover katalogtjanstens egna sakerhet. Vidare medfor detta aven att om en IPSimplementeras kravs det att tva av varandra oberoende sakerhetsatgarder fallerar innanett felsvar realiseras vilket ar att anvandaren far tillgang till resursen.

i

Innehall

1 Inledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

2 Bakgrund . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22.1 Katalogtjanster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22.2 Windows Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

2.2.1 Remote Authentication Dial-In Services . . . . . . . . . . . . . . . . 32.2.2 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

2.3 Hot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.4 Sarbarheter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.5 Attackvektorer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.6 Virtualisering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

2.6.1 Virtualbox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72.6.2 Graphical Network Simulator 3 . . . . . . . . . . . . . . . . . . . . . 7

2.7 Kontroll av paketflode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72.8 Intrusion Prevention System . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.8.1 Signature-based . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.8.2 Anomaly-based . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.8.3 Policy-based . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.8.4 Atomic Signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.8.5 Stateful Signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.9 Raspberry Pi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92.10 Brandvagg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.10.1 Packet Filtering Firewall . . . . . . . . . . . . . . . . . . . . . . . . . 92.10.2 Proxy Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102.10.3 Reverse Proxy Firewall . . . . . . . . . . . . . . . . . . . . . . . . . 102.10.4 Packet-inspection Firewall . . . . . . . . . . . . . . . . . . . . . . . . 11

3 Litteraturstudie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

4 Fragestallning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

5 Metod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

6 Etik och samhalleliga aspekter . . . . . . . . . . . . . . . . . . . . . . . . . . 16

7 Design och genomforande av experiment . . . . . . . . . . . . . . . . . . . 177.1 Program . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177.2 Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

7.2.1 Scenario 1 IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177.2.2 Upprattandet av scenario 1 . . . . . . . . . . . . . . . . . . . . . . . 187.2.3 Upprattandet av IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

7.3 Funktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207.3.1 Scenario 2 brandvagg . . . . . . . . . . . . . . . . . . . . . . . . . . 21

8 Resultat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228.1 IT-systemets utformning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238.2 Sakerstallandet av sakerhetsatgarden . . . . . . . . . . . . . . . . . . . . . . 248.3 Teoretiska scenariot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

ii

9 Diskussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

10 Slutsatser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

11 Framtida arbete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Referenser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Figurer

1 Active Directory Logisk topologi . . . . . . . . . . . . . . . . . . . . . . . . 42 Attackvektor: Flode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Virtualiserade tjanster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Resursatgang: Fysiska enheter . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Resursatgang: Enhet med virtualiserade tjanster . . . . . . . . . . . . . . . 76 Brandvagg: Ett natverks insida och utsida . . . . . . . . . . . . . . . . . . . 97 Brandvagg: Packet filtering firewall [1] . . . . . . . . . . . . . . . . . . . . . 108 Brandvagg: Proxy firewall [1] . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Brandvagg: Reverse Proxy Firewall [1] . . . . . . . . . . . . . . . . . . . . . 1110 Brandvagg: Packet-Inspection Firewall [1] . . . . . . . . . . . . . . . . . . . 1111 Overgripande arbetsflode . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1512 Oversiktsbild for scenariogrund . . . . . . . . . . . . . . . . . . . . . . . . . 1513 Oversiktsbild for scenario 1: Analys (IPS) . . . . . . . . . . . . . . . . . . . 1814 Topologi for scenario 1: Analys (IPS) . . . . . . . . . . . . . . . . . . . . . . 1915 Oversikt signatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2016 Signaturens uppsattning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2017 Oversiktsbild for scenario 2: Brandvagg . . . . . . . . . . . . . . . . . . . . 2218 Utslag pa behorighetsovertradelse . . . . . . . . . . . . . . . . . . . . . . . . 2319 Utslag pa behorighetsovertradelse IPS . . . . . . . . . . . . . . . . . . . . . 23

Tabeller

1 Pakettyper i RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Signaturens default atgarder . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 Signaturens uppsattning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 Upprattandet av natverksbrygga . . . . . . . . . . . . . . . . . . . . . . . . 215 Snort parametrar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

iii

Malardalens Hogskola Johan Hanna

1 Inledning

Dagens natverk har i huvuduppgift att tillhandahalla hog tillganglighet av data ochtjanster. I och med att fler system och klienter installeras okar aven volymerna kansligadata som ror sig och/eller lagras i natverken. Ett overgripande krav pa ett IT-system aratt det ska klara av att stotta verksamheter dar informationsmangden ar sadan att allaanvandare inte har samma behorighet till alla resurser i natverket [2][3] . Ser man tillhogriskmiljoer dar bland annat myndigheter och militara anlaggningar ingar ar detta etttydligt krav. Systemen maste sakras upp samt att sakerhetsatgarderna som implemen-terats maste kunna pavisas. Ett exempel pa detta ar system avsedda for behandling avpersonuppgifter dar det tydligt framgar att adekvata sakerhetsatgarder ska anvandas [3][4].

Tidiga implementationer av IT-system byggde i hog grad pa decentraliserade system.Funktionaliteten i de systemen delades saledes upp pa flertalet enheter med specifikfunktionalitet dar exempelvis sakerheten administrerades fran en specifik enhet medananvandare administrerades fran en annan [5, pp. 2 - 7]. I nutid har de traditionella decent-raliserade systemen harmoniserats till ett centraliserat system med en katalogtjanst somnav. Katalogtjansten har i uppgift att bland annat styra anvandare, grupper, filytor ochatkomstbehorigheter [6].

I och med den centrala roll som katalogtjansten spelar i IT-miljoerna ar dessa utsattafor attacker och kraver darfor omfattande skyddsatgarder. Jag har i arbetet darfor valtatt, med hjalp av tva fragestallningar, undersoka bland annat hur atkomstprinciperna kanskyddas i en katalogtjanst. En katalogtjanst kan utsattas for en rad olika angrepp medhjalp av attackmetoder som bland annat; Rekogniceringsattacker vilka ofta initierar ett an-grepp. Syftet med dessa ar att samla information om de sarbarheter som finns i systemen,Brute Force-attacker som ar en form av losenordsgissning och eskalering av behorighet tillsystemresurser [7]. Dessa ar endast ett axplock av sarbarheter och attackmetoder som kanhota sakerheten i en katalogtjanst. Ett intressant omrade ar atkomstprinciper. De styrbland annat behorigheter till olika resurser i systemet vilket kan ge forodande konsekven-ser om dessa bryts. Problematiken som kan uppsta med atkomstprinciperna och hur denkan motverkas eller mildras avhandlas darfor ingaende i rapporten.

Jag valde att utfora en litteraturstudie som skapade grunden for testscenarierna somupprattades i efterfoljande experimentfas. Miljon byggdes upp enligt en fordefinierad to-pologi som delvis strukturerades om infor respektive scenario. Genom att arbeta utifranscenarierna i en simulerad miljo mojliggjordes en hog flexibilitet i uppbyggnaden dar mo-difieringar kunde utforas utan storre ingrepp. Arbetet som utfordes avhandlar sarbarheteri katalogtjanster och amnar na adekvata metoder for hur atkomstprinciper kan skyddas.En stor del i examensarbetet har varit att eliminera single-point-of-failure och implemen-tera ytterligare sakerhetsatgarder utover katalogtjanstens. Studien visar att detta gar attuppna med hjalp av ett utav de tva testfallen.

1


2 Bakgrund

Upprattandet av IT-system grundar sig i en robust natverksinfrastruktur som har i uppgiftatt transportera data som flodar mellan kontrollenheter, servrar, overvakningssystem ochandnoder. Det underliggande natverket kan i sin enkelhet ses som en transportkanal i mo-derna system. I syfte att ge natverket specifik funktionalitet tillsatts servrar vilka ansvararfor bland annat anvandar- och sakerhetsadministration samt Network Attached Storage-funktionalitet (NAS). Vidare installeras klienter vilka nyttjar bade natverket och funktio-naliteten som servrarna tillhandahaller. I och med att klienterna anvander natverket i sittdagliga arbete okar mangden skyddsvard data som flodar i IT-systemen vilket ger upphovtill ett omfattande sakerhetsarbete och ett robust system vilket i forlangningen aven gerhogre motstandskraft mot riktade forsok att forcera sakerheten i systemen.

2.1 Katalogtjanster

En katalogtjanst mojliggor centraliserad eller distribuerad administration av bland annat;behorighetsprinciper, anvandare, grupper, natverksresurser och regler i en hierarkisk struk-tur, detta for att minimera den administrativa bordan i att bibehalla ett uppdaterat ocheffektivt system [5, pp. 3 - 6]. I forlangningen betyder detta aven att katalogtjansten utgoren central punkt dar anvandarnas behorigheter samlas och tillater saledes anvandarna attnyttja olika resurser och tjanster som tillhandahalls i natverket. Da foretag och organisa-tioner kan stracka sig over langa geografiska strackor implementeras ofta flertalet servrarsom alla ar en del av den ursprungliga katalogtjansten. Detta medfor att informationen arnabar for alla anvandare i organisationen utan krav pa fysisk plats. Katalogtjanster finns ien rad olika genomforanden exempelvis Microsofts Active Directory, OpenLDAP och 389Directory Services. Active Directory ar marknadsledande med en sammanlagd procentuellanvandning om 87.17% enligt Spiceworks utvardering av anvandandet av operativsystemfor servrar [8]. Da Microsofts Active Directory ar dominerande pa marknaden kommerarbetet fokusera pa den katalogtjansten.

2.2 Windows Server

Microsofts Windows Server ar ett samlingsnamn for operativsystem amnade for servrar,aven kallade natverksoperativsystem (NOS). Utvecklandet av operativsystemet har hi-storiskt sett utforts parallellt med utvecklandet av operativsystemen for arbetsdatoreroch hemdatorer dar exempelvis Windows 7 och Windows 10 ingar. Genom introduktio-nen av Windows Server-familjen gav Microsoft foretag, organisationer och myndighetermojligheten att centralisera sina resurser pa ett och samma stalle. Operativsystemet till-handahaller aven roller som ar en samling tjanster som ger servern sin funktionalitet.Tjanster sa som Active Directory (AD), Domain Naming System (DNS), Dynamic HostConfiguration Protocol (DHCP), Internet Information Services (IIS) [5, pp. 24 - 28]. Utoverrollerna aterfinns aven programtillagg som hojer en eller flera rollers funktionalitet.

2


2.2.1 Remote Authentication Dial-In Services

Remote Access Dial-In User Service (RADIUS) ar ett protokoll som ger administratorermojlighet att administrera autentisering, behorigheter och samla statistik over anvandningav resurser [9]. Protokoll som har attributen gar under namnet AAA-protokoll (Authen-tication, Authorization and Accounting).

Autentisering En anvandare som skickar en forfragan om att fa tillgang tillnatverket eller specifika resurser maste autentisera sig mot enhe-ten som kor tjansten RADIUS. Med detta menas att anvandarenmaste uppge sakerhetsinformation som understryker att dennear vem den utger sig for att vara.

Behorighetskontroll Efter en genomford autentiseringskontroll kontrolleras aven vil-ka behorigheter anvandaren har i systemet. Anvandaren kanexempelvis endast vara behorig att bara sin trafik via Hyper-text Transfer Protocol (HTTP) vilket kontrolleras i behorighets-kontrollen.

Overvakning Radius ger aven administratoren mojlighet att kontrollera re-sursatgangen per anvandare. Detta ar vanligt forekommandebland exempelvis Internet Service Providers (ISP) och telekom-foretag.

Radius anvander sig av en rad olika typer av paket som skickas mellan klienten och ser-vern. Paketen som skickas har i uppgift att sakerstalla om klienter far tillgang till natverkoch specifika resurser, bland dessa aterfinns Access-Request, Access-Accept, Access-Reject,Access-Challenge [10, pp. 16 - 21]. Se tabell 1 for information om de olika pakettyperna.

Tabell 1: Pakettyper i RADIUS

Access-Request Paketen skickas fran klienten till servern i form av en forfragandar malet med forfragan ar att kontrollera om anvandaren harbehorighet att anvanda natverket eller den specifika resursen.

Access-Accept Servern kontrollerar uppgifterna i Request-paketet och omforfragan godkanns skickas ett Access-Accept tillbaka till klien-ten.

Access-Reject Om Request-paketet daremot inte godkanns svarar servern medett Access-Reject.

Access-Challenge Challenge paketen skickas i syfte att kontrollera klientens upp-gifter och behorigheter pa nytt. Access-Challenge skickas for atttvinga klienten att skicka ett nytt Access-Request meddelande,detta kontrolleras pa nytt och ett Access-Accept, Access-Rejecteller Access-Challenge skickas pa nytt.

3


2.2.2 Active Directory

Tidiga implementationer av en intern och fullstandig infrastruktur grundade sig i ett de-centraliserat system dar information om anvandarna lagrades i en databas medan anvandarnaskonton samlades pa en fysiskt franskild server. Sakerhetsatgarder for de specifika kontonakunde i vissa fall aven dessa laggas ut pa ytterligare en avskild enhet [5, pp. 3 - 6]. AD:tgor det mojligt att centralisera informationen i en server eller distribuera funktionalitetenpa flera likvardiga servrar.

En Windows Server med Active Directory (AD) installerat blir per definition en doman-kontrollant. All data som samlas i AD kallas objekt. Objekten katalogiseras i sin turi mappar som kallas organisationsenheter (organizational unit (OU)) [6, pp. 17 - 18].Systemet kan upprattas centraliserat och distribuerat mellan olika domankontrollanter.Domankontrollanterna ar en naturlig del i domanernas hierarkiska struktur som grundarsig i ett sa kallat domantrad. Domantradet utgor de yttre granserna och samlar de under-liggande domanerna [6, pp. 20-22]. Traden samlas i sin tur i en hierarkisk struktur kalladen skog [6, p. 22], se figur 1 for en oversiktlig bild av den logiska strukturen.

Figur 1: Active Directory Logisk topologi

4


AD ar byggt pa en rad olika tjanster och Active Directory Domain Services (AD DS) ar enav dessa [5][6]. Active Directory Domain Services ar Microsofts svar pa en katalogtjanst.AD DS samlar alla natverksanslutna enheter i en hierarkisk struktur for att underlattaadministration av resurserna [5]. Den hierarkiska strukturen samlas och styrs i ett sa kallatSchema [5]. Schemat kan modifieras for att gora rum for specifika tidigare odefinieraderesurser.

2.3 Hot

Med hot mot en IT-miljo syftas det ofta till obehoriga intrang som kan forekomma, i allasina former [11]. Alla aktorer med uppsat att skada eller gora data och tjanster onabararaknas som hot [12]. Exempel pa hot kan vara kanslig data som kan hamna i fel handerpa grund av att de anstallda ar outbildade i omradet IT, hard- och mjukvara som inteuppdateras kontinuerligt samt hackers. Andra handelser sa som naturkatastrofer och slarvraknas aven de in bland hoten. Kanslig data ar alltid utsatt for hot fran olika aktorer, somvia sarbarheter kan na malet som ar den onskade resursen [13].

2.4 Sarbarheter

En sarbarhet ar ett sakerhetshal i ett IT-system eller applikation som gor systemet mot-tagligt mot angrepp. Halen forekommer i allt fran hardvara till personen som konfigurerareller nyttjar enheten i sitt dagliga bruk. Sarbarheterna kan vara en foljd av den manskligafaktorn dar personen i fraga konfigurerat en enhet eller tjanst fel, sarbarheterna kan avengrunda sig i tillverkares konfigurationsmisstag eller att de helt enkelt inte uppmarksammathalet under produktion. Halen nyttjas i sin tur av en angripare for att na kanslig data.[12] [14]

2.5 Attackvektorer

En attackvektor ar i sin enkelhet ett medel vilken en aktor med illvilja kan nyttja i syfteatt fa tillgang till klienter samt det underliggande natverket [15]. Medlet kan exempelvisvara en PDF-fil, en hemsida, ett svagt losenord, den manskliga faktorn eller en konfi-gurationsmiss som lamnar en sarbarhet i systemet vilken kan nyttjas som attackvektor.Attackvektorn gor det mojligt for aktoren att leverera en nyttolast, vilken ar den data somskickas med for att utfora ett angrepp och den anvands for att forcera sakerheten och fatillgang till de onskade resurserna eller skyddsvard data. Se figur 2 for ett overgripandeforlopp for hur en attackvektor anvands i syfte att aventyra sakerheten i ett IT-system.

Figur 2: Attackvektor: Flode

5


Ett scenario for att pavisa vad en attackvektor ar och hur den anvands kan exempelvis vara,att en Microsoft Office Word-fil (.docx) anvands som attackvektor i syfte att exploateraen kand sarbarhet i Microsoft Office.

2.6 Virtualisering

Virtualisering ar en teknik for att skapa flertalet simulerade komponenter i en IT-miljosamt att i vissa fall simulera kompletta miljoer vilket redovisas grafiskt i figur 3. En simu-lerad komponent kallas for en virtuell maskin, dessa simuleras pa hardvaran via en hyper-visor. Hypervisorerna finns i tva genomforanden, Typ 1 och Typ 2. En Typ 1-hypervisorimplementeras direkt pa hardvaran och blir saledes det enda lagret ”mellan” hardvaranoch de virtuella maskinerna. En hypervisor av typen 2 installeras daremot ovanpa ett un-derliggande operativsystem som exempelvis Windows eller Linux. [16, pp. 5 - 14]

Figur 3: Virtualiserade tjanster

Virtualisering av operativsystem kan anvandas i syfte att nyttja hardvarans fulla kapacitetsamt effektivisera hanteringen av tjanster. Traditionellt implementeras tjanster i separataservrar dedikerade for en specifik tjanst vilket gor att systemen i manga fall har overflodigaresurser kvar som inte nyttjas enligt figur 4.

6


Figur 4: Resursatgang: Fysiska enheter

Virtualiseringen gor det mojligt att nyttja hela resursspektrumet, se figur 5, detta ge-nom att installera tjansterna sida vid sida med bland annat fordefinierad processorkraft,vaxlingsutrymme och portar. [16, pp. 5 - 14] [17]

Figur 5: Resursatgang: Enhet med virtualiserade tjanster

2.6.1 Virtualbox

Virtualbox ar en mjukvara med oppen kallkod som gor det mojligt att virtualisera flertaletoperativsystem i en fysisk enhet. Mjukvaran utvecklades initialt av Innotek GmbH somsenare forvarvades av Oracle Corporation. Virtualbox ar en typisk Typ 2 -hypervisor idet att mjukvaran installeras ovanpa ett operativsystem som aven kallas Host operatingsystem. [18]

2.6.2 Graphical Network Simulator 3

Graphical Network Simulator 3 (GNS3) ar en grafisk simulator framtagen av Jeremy Gross-man [19] . Mjukvaran slapptes for allmannheten ar 2008 och gor det mojligt att virtualisera,designa och testkora olika typer av natverksmiljoer [19] [20, p. 1 - 2]. Mjukvaran ar en avfa som klarar av att simulera funktionaliteten fran olika tillverkares operativsystem ochhardvara. Virtualisering av routrar, switchar och servrar i GNS3 ger en bra bild av hurett natverk beter sig i verkligheten [20, pp. 2-8].

2.7 Kontroll av paketflode

Wireshark ar ett program som gor det mojligt att analysera paketfloden i realtid. Innehalleti trafikflodena kan med hjalp av mjukvaran undersokas i syfte att overvaka vad som rorsig mellan enheterna internt samt vad som mottas fran internet. Wireshark gor det avenmojligt att overvaka och analysera paketflodena i realtid och presenterar dessa i ett gra-fiskt granssnitt. Attributen som karaktariserar Wireshark ger administratorer mojlighetatt felsoka problem i natverket, undersoka sakerheten samt kontrollera hur enheter ochapplikationer nyttjar natverket och uppkopplade enheter. [21]

7


2.8 Intrusion Prevention System

Ett Intrusion Prevention System (IPS) [22] ar en mjuk- eller hardvara implementeradi en IT-miljo. IPS:en gor det mojligt att i realtid overvaka och kontrollera trafik motspecifika signaturer i syfte att forhindra attacker och utnyttjandet av sarbarheter [23].Systemet implementeras inline, det betyder att IPS:en implementeras mellan tva enheterexempelvis enligt nedan:

Klientenhet→ IPS→ Switch

Enheten kan aven placeras pa en strategisk plats i infrastrukturen exempelvis mellan olikakontorsnatverk enligt nedan:

Ekonomi→ IPS→ Forskning

Signaturerna som anvands av IPS:en ar i sin enkelhet en uppsattning regler. Reglerna aruppbyggda for att para ihop trafiken som i realtid ror sig igenom IPS:en. Dessa matchasmot signaturerna vilka ar uppbyggda med bland annat regler som gor kanda attackersynliga och egenskapade regler for trafik som inte far rora sig mellan exempelvis olikanatverkssegment [22]. IPS:en kan konfigureras enligt tre overgripande metoder vilka arSignature-based, Anomaly-based och Policy-based. Signaturerna kan upprattas i tva olikaformer, atomic- och stateful-signaturer.

2.8.1 Signature-based

En IPS som upprattas enligt signature-based-metoden konfigureras for att analysera tra-fikflodena och matcha dessa mot en databas som ar uppbyggd av kanda attacksignaturer.For att kunna matcha trafikflodena undersoks pakethuvudet samt informationen som skic-kas med i paketet. [24, p. 14]

2.8.2 Anomaly-based

En anomaly-based-enhet grundar sig i en forberedelseperiod dar natverket overvakas overtid for att ge IPS:en en forstaelse over vad som ar normalanvandning av natverket. Narnormalen val ar upprattad kan IPS:en utifran normalfallet detektera anomalier i trafik-flodena som fardas i natverket. [24, p. 15 ]

2.8.3 Policy-based

Upprattas enheten enligt metoden Policy-based utgar den fran fordefinierade regler. Reg-lerna grundar sig generellt sett i parametrar som att tillata och neka trafik fran specifikaavsandare till de avsedda mottagarna over kanda protokoll. [24, p. 15]

2.8.4 Atomic Signature

En atomic signature ar den enklaste typen av signaturer. De bygger pa att undersoka ettpaket eller ett event i taget. En atomic signature behover ingen information om datidaeller framtida aktivitet i natverket for att kunna utfora sina beslut over vad som ska gorasmed de specifika paketen. De behover alltsa inte overvaka hela trafikfloden utan matcharistallet varje paket mot reglerna for att hitta och motverka ett eventuellt angrepp. [24, pp.245 - 246]

8


2.8.5 Stateful Signature

En Stateful signature kontrollerar till skillnad ifran en atomic signature hela trafikfloden foratt skapa en bild av om det ar ett eventuellt angrepp eller legitim trafik. Under kontrollenav paketflodet samlas delar av information in under en fordefinierad tid for att kunnamatcha mot de specifika attacksignaturerna som samlats i databasen. [24]

2.9 Raspberry Pi

Raspberry Pi [25] ar en mini-dator som skapats i syfte att vara ett solitt och ett kostnads-effektivt alternativ for att lara ut grundlaggande datavetenskap i skolor. Forsta versionenslapptes 2012 och var utrustad med 256 Mb RAM. Hardvaran har utvecklats sedan dessoch ar numera utrustad med en kraftfullare processor och RAM vilket gor det mojligt attanvanda enheten till mer resurskravande funktioner sa som en brandvagg eller IPS. Foratt ge hardvaran sin funktionalitet kravs ett operativsystem. Linux ar det foredragna ope-rativsystemet pa enheten med bland annat distributioner som Ubuntu och Debian vilkahar specifikt framtagna distributioner for Raspberry Pi.

2.10 Brandvagg

En brandvagg ar en sakerhetshojande enhet som i sin enkelhet tillater och nekar olika typerav trafikfloden i natverken. Enheten delar upp natverket i olika zoner dar dessa markerar”omraden” i natverket, som antingen ar sakra eller osakra enligt vad administratorenkonfigurerat. Vidare agerar brandvaggen som en vakt mellan zonerna dar regler upprattasfor att tillata eller blockera trafikfloden som ror sig mellan zonerna via brandvaggen,se figur 6. Brandvaggarna kan upprattas i en rad olika genomforanden, bland annat somPacket Filtering Firewall, Stateful Firewall, Proxy Firewall och Packet-Inspection Firewall.

Figur 6: Brandvagg: Ett natverks insida och utsida

2.10.1 Packet Filtering Firewall

En packet filtering firewall grundar sina beslut pa parametrar som aterfinns i den trafiksom flodar i natverken sa som; vilket protokoll som anvands, sandar- och mottagaradresseroch vilken typ av tjanst trafiken tillhor. Reglerna som upprattas i en brandvagg av den hartypen ar statiska vilket betyder att de inte forandras over tid. Detta oppnar upp och kange en hacker en attackmojlighet i det att nyttolasten som anvands vid attacken tunnlasigenom brandvaggen vilket hade gett angriparen en oppning in i systemet. Den har typen

9


av brandvagg finns och gar att konfigurera pa majoriteten av enheterna som aterfinns i ettnatverk som exempelvis routrar, switchar och klientenheter, se figur 7 for en overgripandebild av hur en packet filtering firewall arbetar. [1]

Figur 7: Brandvagg: Packet filtering firewall [1]

2.10.2 Proxy Firewall

Proxy firewall arbetar pa lager sju i OSI-modellen. Lager sju ar applikationslagret dartjansterna som kors pa klientenheterna arbetar. Den har typen av brandvagg agerar isin enkelhet som en motesplats dar tjansten som kors pa klientenheten exempelvis enwebblasare vilken oppnar en hemsida moter hemsidans innehall. Det klienten oppnar etttrafikflode fran sig sjalv till brandvaggen som i sin tur oppnar ett flode med sig sjalv sommottagare till hemsidan som efterfragats. Nar flodet val ar upprattat relaar brandvaggenhemsidan till klienten se figur 8. [1]

Figur 8: Brandvagg: Proxy firewall [1]

2.10.3 Reverse Proxy Firewall

En Reverse Proxy Firewall arbetar i stort pa samma satt som en Proxy firewall, skillnadenar att denna fokuserar pa att skydda servern istallet for klienten. En anvandare somefterfragar en specifik resurs skickar da denna via en proxy-server till den avsedda servernmed resursen, vidare kan aven brandvaggen agera lastbalanserare och skicka forfragan tillflera olika servrar med samma resurs, se figur 9. [1]

10


Figur 9: Brandvagg: Reverse Proxy Firewall [1]

2.10.4 Packet-inspection Firewall

Tekniken Packet-inspection grundar sig i att brandvaggen kontrollerar hela paketflodenmellan sandare och mottagare. Det vill saga fran det att forsta paketet skickas till dessatt sista paketet ar mottaget kontrollerar brandvaggen om trafikflodet ar behorigt attforas in eller ut i natverket. I paketflodet aterfinns bland annat information om protokoll,sessioner, sandar- och mottagar-adress samt tjanstespecifik information, exempelvis vilkaFile Transfer Protokoll portar som anvands. Vidare arbetar brandvaggen enligt foljandeflodesschema: en anvandare efterfragar en specifik resurs pa servern, forfragan fardas dain i brandvaggen som kontrollerar om forfragan ar behorig att passera ut mot resursen,i vissa fall kan brandvaggen aven undersoka nyttodatan som skickas. Processen syftasofta till som deep-packet inspection. Om parametrarna overensstammer med regelverketsom upprattats i brandvaggen slapps trafiken igenom och flodet fortsatter att overvakas.Returtrafiken kontrolleras aven denna mot regelverket det vill saga att om trafiken somkommer tillbaka som svar pa fragan ar legitim eller inte. Anses trafiken legitim skickas denvidare till klienten och om inte filtreras den bort, se figur 10 for overgripande funktionalitet.[1]

Figur 10: Brandvagg: Packet-Inspection Firewall [1]

11


3 Litteraturstudie

I M. R. DeLong et al. Dukes university’s protected network [26] undersoktes mojlighetenatt skydda forskarnas data vid Dukes universitet. Forfattarnas mal med arbetet var attgenom sakerhetshojande atgarder och riktlinjer sakra kanslig data som bearbetas av fors-karna, bland annat personuppgifter, halsodeklarationer/journaler samt ovrig skyddsvarddata. Arbetet inleddes med att sakerhetsklassa information i tre overgripande kategoriervilka var kanslig, begransad atkomst och oppen. Kategoriernas respektive sakerhetsklassskapade en lagsta niva dar den oppna informationen inte ansags vara lika skyddsvard sominformationen med begransad atkomst och den kansliga informationen. Arbetet fokuseradeframst pa kategorin kanslig information dar bland annat personnummer och bankuppgif-ter aterfanns.

Utredningen utgick fran att overgripligt sakra upp systemet pa de intressanta fronterna,bland annat undersoktes mojligheten att segmentera upp infrastrukturen samt gransk-ning av autentiserings- och identitetskontroll. Systemet byggdes upp med hjalp av vir-tualisering och administrativa grupper for att effektivt kunna segmentera resurserna ochge anvandarna en flexibel upplevelse som samtidigt uppnadde forfattarnas fordefinieradekrav pa IT-miljon.

I en studie utford av C. H. Hsieh et al. [27] undersoktes overvakning av anomalier iActive Directories logghantering. Anomalierna av intresse var Advanced Persistent Th-reats (APT), vilket ar hacking-processer som arbetar over lang tid. APT kor kontinuer-liga processer i syfte att utnyttja sarbarheter i systemen nar dessa hittats. Arbetet slogfast en losningsmetod som grundade sig i att hot skulle synliggoras genom att overvakaanvandarkontons beteende i AD-loggarna. Vidare kontrollerade domankontrollanten bete-endet ur loggarna. 95 konton overvakades under tva manader, under den tiden samlades22.5 GB data till loggarna. Vidare analyserade forfattarna de skapade AD-loggarna in-nehallande anvandarkontonas beteende pa det lokala natverket. Det visade sig dock attden valda algoritmen inte var optimal for andamalet, forfattarna ansag Markov-modellenihop andra olika typer av loggar och kontexter kan vara av varde i det framtida arbetetmed att overvaka om anomalier och insiderhot som forekommer i det lokala natverket.

D. Chadwick utforde i Threat Modelling for Active Directory en undersokning i vilkenhotbild som finns mot Active Directory och anslutna webbtjanster. Arbetet kartlade deovergipande hoten och attackerna som tjansten kan utsattas for, bland dessa aterfannsspoofing, eskalering av rattigheter, manipulering av data och Distributed Denial of Ser-vice (DDOS). Kartlaggningen gav aven upphov till metoder for att mildra eller forhindraangreppen helt. Metoderna som gjorde sig synliga i arbetet var bland annat; krypteringoch autentisering av trafik som skickas via ett ”osakert” natverk, att via access-listor be-gransa rattigheterna till AD samt begransa vad klienten har mojlighet att skicka med iforfragan till servern. [28]

En viktig aspekt att ta i beaktning ar informationen som samlas i katalogtjansterna ombland andra personal och kunder som i manga fall ar skyddsvard. W. Claycomb et al.[29] undersokte problematiken i personlig information som inte var tillrackligt skyddadi IT-miljoerna. Iden grundade sig i en stor okande mangd identitetsstolder. Forfattarnasfokus var att sakra upp informationen mot interna hot, exempelvis att en systemadmi-nistrator hamtar informationen for egen vinning, modifierar den eller raderar den helt.

12


Problematiken med obehorigas tillgang till den personliga informationen arbetades tilldel bort genom anvandandet av virtuella kataloger som implementerades mellan klientoch server samt anvandandet av distribuerade krypteringsnycklar. En vidareutvecklingforfattarna fattade intresse for var att implementera losningen ihop med existerande Pub-lic Key Infrastructure-system (PKI), for att minimera underhallet pa anvandarnas kryp-teringsnycklar och losenord.

Litteraturen som undersokts tog bland annat ett helhetsgrepp over sakerheten i AD, IT-miljoerna, beteendemonster baserat pa hur anvandarkonton arbetade i det lokala natverketoch hur insiderhot mildras. I arbetet som utfors i den har rapporten fokuserar jag pa att hit-ta en losning pa hur man kan gora AD mer robust i hur systemet behandlar forfragningartill resurser hemmahorande i servern vilket ocksa blir mitt tillagg i diskussionen kringsakerhetsrelaterade arbeten med fokus pa Windows Server och katalogtjansten AD.

13


4 Fragestallning

En IT-miljo grundar sig generellt sett i en katalogtjanst vilken ar den centrala punkt daranvandare, grupper, natverksresurser och enheter samlas. Windows Server med tjanstenActive Directory ar marknadsledande i segmentet [8]. Da Active Directory implementerasi miljoer med hoga krav pa sakerheten sa som militara anlaggningar och myndigheter,kravs ett gediget sakerhetsarbete for att sakerstalla ett robust system. Da felsvar ar etthot och en eventuell attackvektor i ett IT-system kravs ett forebyggande arbete for attmotverka dessa.

Arbetet syftar till att oka medvetenheten kring de hypotetiska sarbarheterna som finnsi en katalogtjanst. Arbetet stravar aven efter att definiera riktlinjer over hur en po-tentiell sarbarhet i atkomstprinciper kan motverkas eller mildras samt hur atgardernakan sakerstallas och pavisas. Malet med arbetet ar att med hjalp av sakerhetshojandeatgarder i form av en IPS och en brandvagg sakra upp katalogtjanstens atkomstprincipersamt pavisa dessas funktionalitet. Teknikerna valdes ut baserat pa formagan att i realtidanalysera trafik och utifran den analyserade trafiken utfora olika typer av fordefinieradeatgarder. Rapporten amnar aven att ge motiv for att arbeta proaktivt for att forebyggaeventuella sarbarheter och hot i katalogtjansternas atkomstprinciper. Nedan presenterasfragestallningarna som rapporten ska besvara:

1. Hur kan en IT-miljo utformas sa att en hypotetisk och allvarlig sarbarhet i katalog-tjansten inte riskerar att aventyra viktiga atkomstprinciper?

2. Hur kan de implementerade sakerhetsatgarderna pa katalogtjansten sakerstallas ochpavisas?

Fragestallningarna kommer att besvaras med hjalp av nedanstaende delfragor.

• Kan en katalogtjansts atkomstprinciper sakras upp med hjalp av ett Intrusion Pre-vention System?

• Kan atgarden sakerstallas och pavisas?

• Kan katalogtjanstens atkomst- och autentiseringsprinciper skyddas med hjalp av enbrandvagg?

• Kan atgarden sakerstallas och pavisas?

Den laboration som kommer att utforas utgar fran en generisk topologi som fokuserar paden interna sakerheten i katalogtjansten och alla dess lager, bland annat administrativa-anvandar- och atkomstbehorigheter. Det underliggande natverket kommer endast att ageratransportkanal och kommer inte avhandlas ingaende i arbetet. Arbetet kommer inte hellerta hansyn till den manskliga faktorns paverkan pa sakerheten.

14


5 Metod

Inledningsvis utfordes en litteraturstudie i syfte att inhamta relevant information kringsakerhet i katalogtjanster samt vilka sarbarheter en katalogtjanst medfor. De tidigareverken omsattes vidare i rapporten och skapade en stabil grund for det kommande arbeteti experimentfasen, se figur 11 for en overgripande bild over arbetsflodet.

Figur 11: Overgripande arbetsflode

Experimenten som utfordes grundade sig i en statisk simulerad miljo dar katalogtjanstensattes i fokus. I experimentfasen implementerades sakerhetsatgarderna stegvis i syfte attkontrollera hela arbetsflodet. Genom att anvanda en simulerad miljo kunde modifieringarpa tjansterna goras utan nagra storre ingrepp.

Den simulerade miljon bestod av ett natverk som endast agerade transportkanal, ett god-tyckligt antal slutanvandare installerades samt en server. De tester som utfordes i densimulerade miljon kategoriserades in i olika scenarier. Scenarion upprattades for att ge oli-ka infallsvinklar pa hur atkomstprinciperna kan skyddas. Miljon modifierades for att tillataolika typer av testfall dar exempelvis enheter tillsattes for att kontrollera forfragningar.Detta for att uppna en adekvat metod for att hoja sakerheten i systemet med avseendeframst pa atkomstprinciperna. Se figur 12 for en principskiss av scenariogrunden.

Figur 12: Oversiktsbild for scenariogrund

15


Scenarierna grundade sig i att ytterligare ett lager av skydd implementerades i syfte attgora systemet mer robust. Syftet med experimenten var att testa om forfragningarna kun-de analyseras och atgarda eventuella anomalier som uppmarksammats i flodena samt attforcera fram fel i hur servern svarar pa behorighetsregelverket.

Olika typer av sakerhetshojande atgarder implementerades i syfte att mildra effekten avatt behorigheterna brots. Atgarderna var i form av exempelvis en IPS vilken implementera-des inline och kontrollerade forfragningarna som skickades via enheten till serven, vidaregjorde IPS:en avvagandet om klienten var behorig till resursen eller inte. Denna struk-tur upprattades i ett scenario som virtualiserades i VirtualBox och GNS3. Matningarnaovervakades med Wireshark av den anledning att GNS3 stodjer programmet samt attfunktionaliteten i Wireshark ger en djupgaende kunskap i paketens uppbyggnad och in-nehall. Den information som gick att utlasa i Wireshark lade aven grunden for hur regel-verket i IPS:en skrevs. Ett teoretiskt resonemang arbetades aven fram dar en brandvaggagerade sakerhetshojande atgard. Denna var tankt att harmonisera analys, autentiseringoch auktorisation av anvandare och forfragningar i symbios med katalogtjansten.

6 Etik och samhalleliga aspekter

Da arbetet inte innehaller varken kvantitativa eller kvalitativa intervjuer samt att den si-mulerade laborationsmiljon ar uppsatt och utfors privat i en miljo som ej paverkar omgiv-ningen ger arbetet i sig inte upphov till nagra etiska fragestallningar. Implementeras IPS:ereller brandvaggar enligt det foreslagna losningsforslaget i ett produktionsnatverk kan detmedfora ett overtramp pa bland annat personalens integritet. Detta da trafiken analyse-ras och i vissa fall loggas for att analyseras bade i realtid samt vid ett senare skede. Kanovertramp i form av otillaten kartlaggning av den enskilda anvandarens anvandningsvanori IT-systemen samt internet utforas? Fragestallningar i enlighet med denna kan kommaatt behova regleras och styras mot riktlinjer och gallande lagstiftning.

Undersokningen medfor aven vissa samhalleliga aspekter. For att satta arbetet som helhetoch katalogtjansten i sitt sammanhang sett till verkligheten ska man vara val medvetenom att tjansten ar implementerad och verkar i stora som sma foretag, myndigheter, mi-litara anlaggningar och andra skyddsobjekt. Katalogtjansten ar ett nav for administrationav bland annat anvandares behorigheter. I och med den centrala del i ett IT-system somkatalogtjansten utgor kravs ett gediget arbete for att minimera exempelvis felsvar paforfragningar.

Ett felsvar kan i praktiken vara harmlost men det kan aven ge forodande konsekvenser darpersoner med ont uppsat far tillgang till hemliga dokument, funktioner och behorigheteri systemet. Felsvar som uppkommer i samhallskritisk infrastruktur sa som myndigheteroch foretag som tillhandahaller vitala tjanster och funktioner i samhallet kan vara kritis-ka. I forlangningen kan felsvar aven anvandas av externa aktorer och frammande maktersom en attackvektor for att sla ut funktionerna samt stjala exempelvis hemlig informa-tion. Vidare kan aven felsvar av katalogtjansten som ger obehoriga tillgang till exempelvisforetagshemligheter ge upphov till ekonomisk vinning for individen eller aktoren och iforlangningen en potentiell ekonomisk forlust for det avsedda foretaget.

16


7 Design och genomforande av experiment

Arbetet grundade sig i olika typer av scenarion som skapades i tva genomforanden. Deolika scenarierna upprattades med samma grundtanke, vilken var att oka sakerheten i IT-systemet med fokus pa katalogtjanstens funktionalitet. Testfallen utgick fran en grundto-pologi som byggdes upp modulart for att mojliggora enklare modifieringar i miljon for attna de olika kraven pa testfallen.

7.1 Program

For att skapa testmiljon kravdes ett antal olika program och operativsystem. I centrumstod virtualiseringsmjukvarorna GNS3 och Virtualbox. Virtualbox ar en open-source-mjukvara som gor det mojligt att virtualisera olika typer av operativsystem, vilket varvaldigt anvandbart i de simulerade testerna. GNS3 anvandes i syfte att virtualisera natverks-enheterna samt att knyta ihop sacken med de virtualiserade operativsystemen i Virtual-box. Windows Server 2012 R2 spelade en stor roll i topologin da Active Directory (Ka-talogtjansten) installerades pa operativsystemet och enheten fungerade som en centraladministrativ punkt i grundtopologin. Vidare skapades bland annat en Linux-maskin somagerade IPS. IPS:en som valdes ut for andamalet var open-source-mjukvaran Snort framstav den anledningen att denna ar en mjukvara med oppen kallkod vilket medfor att mjukva-ran kan modifieras och konfigureras efter definierade behov. I Snort finns aven mojlighetenatt skapa egna signaturer och uppsattningen av systemet var bekant. Snort gor det avenmojligt att baserat pa de skapade reglerna utfora specifika atgarder med de specifika tra-fikfloden som ror sig igenom enheten.

7.2 Scenario

Testfallen byggde pa tva scenarier som bada utgick fran samma grundbult. Denna var attmed sakerhetshojande atgarder gora systemet mer robust mot att behorighetsprincipernabryts och ger obehorig personal eller aktorer tillgang till skyddsvarda resurser. Scenario1 bestod av grundtopologin med tillagget att en IPS implementerades medan scenario 2grundade sig i en proxy brandvagg, vilken inte implementerades praktiskt.

7.2.1 Scenario 1 IPS

Ett Intrusion Prevention System konfigureras for att kontrollera viss typ av trafik. Den tra-fik som ska kontrolleras baseras pa AD-registrets uppbyggnad och anvandarnas/kontorensbehorigheter i syfte att overvaka floden, specifika monster och baserat pa dessa kunnautfora fordefinierade atgarder. Den trafik som matchas kontrolleras mot signaturer skapa-de ur katalogtjanstens behorighetsprinciper. Genom att IPS:en analyserar trafikflodenaoch jamfor dessa mot signaturerna i realtid kan enheten godkanna eller underkannaforfragningarna. IPS:en placeras i trafikflodet (inline), detta for att ge enheten mojlighetatt agera pa anomalier i trafikflodena vilka ar obehoriga forsok att na specifika resurser,se figur 13 for en oversiktsbild over IPS-topologin.

17


Figur 13: Oversiktsbild for scenario 1: Analys (IPS)

7.2.2 Upprattandet av scenario 1

Experimentfasen delades in i tva testfall med olika konfigurationer dar bade praktiska ochteoretiska tillampningar ingick. Grundtopologin som anvandes bestod av en Windows Ser-ver virtualiserad i Virtualbox med tjansten Active Directory. Enheten importerades vidarein i GNS3 dar den underliggande natverksinfrastrukturen aven virtualiserades, enligt Figur14. En virtualiserad Linuxmaskiner upprattades och huserade bland annat IPS-mjukvaranSnort. Uppbyggnaden av IPS-scenariot enligt nedan:

Operativsystem

• Windows Server 2012 R2

• Ubuntu Mate 16.04 LTS

• Windows 7

Mjukvara

• Active Directory

• Snort

Topologi

• Tradstruktur

• Windows Server → Natverk → IPS → Anvandare

18


Figur 14: Topologi for scenario 1: Analys (IPS)

AD upprattades i en grundlaggande konfiguration dar en skog skapades med ett tillhorandetrad och en doman. I denna konfigurerades tva anvandare med en hemmapp for respek-tive anvandare dar de endast fick tillgang till den egna hemmappen. En switch imple-menterades for att kunna formedla trafiken mellan andnoderna. I syfte att ge systemet ensakerhetshojande funktion implementerades en IPS. Denna upprattades transparent mel-lan klient och switch for att trafiken som skickades fran klienten till servern skulle passeraigenom enheten, se.

7.2.3 Upprattandet av IPS

IPS:en konfigurerades som tidigare specificerat mellan slutanvandaren/kontoret och swit-chen vilket tvingade trafiken genom enheten. For att ge Snort mojlighet att analysera denspecifika trafiken utan nagon inverkan av de tidigare specificerade signaturerna togs de urbruk for att eliminera den felkallan. En enklare signatur skapades for att belysa IPS:enspaverkan pa ett IT-system, se tabell 3 for en oversiktsbild over IPS:ens defaultatgarder.

Tabell 2: Signaturens default atgarder

Alert Alert-parametern instruerar Snort att alarmera ochlogga de specifika paketflodena med den eftersokta in-formationen.

Log Loggar paketet.

Pass Slapper igenom paketet.

Activate Larmar och kor ytterligare en dynamisk regel.

Dynamic Ligger latent och vantar pa att aktiveras av activate.

Drop Kastar paketet och loggar det.

Reject Droppar, loggar och och skickar ett paket for attaterstalla TCP-sessionen

Sdrop Kastar endast paketet utan att logga nagon informa-tion om atgarden.

19


Signaturen skapades genom att inledningsvis analysera trafikflodets uppbyggnad for attkunna utlasa vilka parametrar signaturen skulle eftersoka. Signaturen skapades i enlighetmed figur 15 och 16.

Figur 15: Oversikt signatur

Figur 16: Signaturens uppsattning

Signaturen som anvandes var sammansatt av en rad parametrar och variabler som har-moniserades enligt tabell 4.

Tabell 3: Signaturens uppsattning

Alert Alert-parametern instruerar Snort att alarmera och logga de spe-cifika paketflodena med den eftersokta informationen.

TCP Specificerar vilket eller vilka protokoll som ar av intresse.

Variabel (HOMENET) En variabel som haller det lokala natverket, detta for att snabbtkunna delge Snort vilket/vilka natverk som ska sakras upp.

Port (Alla eller specifika por-tar)

Specificerar vilka portar ofta protokollspecifika, som ska analyse-ras.

− > (<>,< −) Riktningstecknen klargor vilken riktning som ar intressant.

MSG (Message) Specificerar vilket meddelande som ska visas i loggarna nar enhandelse intraffar.

Content Specificerar vilken nyttodata som eftersoks.

Nocase Funktion som gor det mojligt for IPS:en att fanga alla kombinatio-ner av den eftersokta strangen (Stor och liten bokstav behandlaslika).

SID Ett ID for den skapade regeln.

7.3 Funktion

Det lokala natverket byggdes upp med statisk adressering i adresspannet 192.168.1.0/24.Med detta menas att pa bade server och klient applicerades IP-adressen manuellt. Vida-re implementerades IPS:en transparent mellan klient/kontor och switch. For att uppnatransparens skapades en brygga mellan tva interface pa maskinen utan adress. For attdetta ska vara mojligt installeras forst bridge-utils pa maskinen, se tabell 5 for konfigura-tionsexempel i upprattandet av natverksbrygga i linux.

20


Tabell 4: Upprattandet av natverksbrygga

brctl addbr br0 Kommando for att uppratta en brygga vid namn br0.

brctl addif br0 eth0 eth1 Specificerar vilka interface som ska vara en del av bryggan, i dettafall ska eth0 .

brctl stp br0 on/off Sla pa eller sla av STP pa bryggan.

Val implementerat kunde Snort koras, detta med hjalp av kommandot nedan samt setabell 6 for en mer detaljerad bild av vad de olika parametrarna tillfor:

snort -A console -c /etc/snort/snort.conf -i eth0:eth1

Tabell 5: Snort parametrar

Snort Startar mjukvaran

-A console Specificerar att alerts skrivs ut i konsolen dar mjukvaran initierats.

-c /etc/snort/snort.conf Specificerar vilken konfigurationsfil som Snort ska koras ifran

-i eth0:eth1 Specificerar vilka interface som ingar i bryggan.

7.3.1 Scenario 2 brandvagg

Det teoretiska genomforandet grundade sig i att bygga upp ytterligare barriarer som enform av sakerhetshojande atgard i IT-systemet. I detta fall valdes en brandvagg som even-tuell atgard. Grundiden i detta scenario var att placera en brandvagg i anslutning tillrespektive kontor genom att segmentera brandvaggen till kontoren pa portbasis for attnyttja hela resursspektrumet i brandvaggen istallet for att implementera en brandvaggfor respektive natverkssegment.

Brandvaggen placeras i anslutning till respektive kontor i syfte att segmentera samttillfora autentisering och en form av auktorisation av rattigheterna for respektive kon-tor/anvandare, detta i symbios med katalogtjansten. Brandvaggen konfigureras med re-gister hamtade fran AD for att kunna kontrollera och godkanna forfragningar som skavidare till eller kommer ifran servern. Brandvaggen placeras transparent i trafikflodetut fran ett visst natverkssegment och konfigureras med en egen uppsattning regler for dekonton som innefattas i organisationen. Genom att konfigurera de enligt ovanstaende krite-rier upprattas en typ av utbyggd autentisering dar brandvaggen ger tillgang till natverketoch brandvaggen i symbios med AD ger anvandarna behorighet till de avsedda resur-serna baserat pa anvandarnas behorighetsprinciper, se figur 14 for en oversiktsbild overbrandvaggsfallet.

21


Figur 17: Oversiktsbild for scenario 2: Brandvagg

8 Resultat

Experimentet som utfordes i de simuleringar med IPS:en som huvudkomponent gav i slut-skedet ett positivt resultat i det att det tankta resultatet till viss del uppnaddes. I testernasom utfordes analyserades mojligheten att upptacka och blockera specifik trafik avsedd forresurser som anvandaren inte hade tillgang till utan fatt det genom att servern svarat felpa en forfragan. Trafiken matchades mot en signatur som eftersokte en specifik parame-ter, denna var |A|00|r|00|b|00|e|00|t|00|e| (Arbete) som var en hemmapp skapad i testsyfte.

I testerna som utfordes skickades forfragningar fran en anvandare till resursen Arbetesom anvandaren i praktiken inte skulle vara behorig till. Forfragningarna mellan klientoch server fangades upp och alarmerade i Snort. I figur 18 gar det att utlasa bland annatmeddelandet som genereras vid ett eventuellt overtramp samt mellan vilka enheter ochvilka portar som anvants. Port 445 ar standardporten for SMB-forfragningar som klientoch server anvander nar klienten inhamtar information ur mappstrukturen.

Figur 18 forevisar hur IPS:en betedde sig nar filer skapades i mappen. I den hogra de-len av bilden skapas filerna i mappen arbete pa en virtuell Windows 7 klient. Den vanstradelen av bilden forevisar att IPS:en alarmerar vid skapandet av filerna, se aven figur 19for en mer hogupplost bild over utslagen i IPS:en.

22


Figur 18: Utslag pa behorighetsovertradelse

Figur 19: Utslag pa behorighetsovertradelse IPS

8.1 IT-systemets utformning

I och med experimentets utfall kunde fragan om hur en IT-miljo kan utformas for att skyd-da behorighetsprinciperna besvaras. Genom att inledningsvis uppratta ett robust natverkoch en logisk struktur i katalogtjansten med tydliga behorigheter per anvandare samtfor grupper av anvandare kan det externa sakerhetsarbetet paborjas dar IPS:en imple-menteras. IPS:en implementeras forslagsvis i trafikflodenas riktning och i inline-laget foratt mojliggora optimala funktionsforhallanden som ar bland annat mojligheten att styraatgarderna till att blockera, tillata och alarmera de eftersokta paketflodena.

23


Beroende pa hur natverket ser ut dar IPS:en ska implementeras kravs darfor ett gedigetforarbete och planering kring hur miljon ser ut vilka som ska fa tillgang till respektiveresurs, hur signaturerna ska skrivas for att gora dem tillrackligt inkluderande for att ef-fektivt kunna analysera och atgarda anomalierna i paketflodena. Genom att implementeraen sadan losning kan vi effektivt bygga upp ytterligare en barriar for att motverka attkatalogtjansten svarar fel pa en forfragan.

8.2 Sakerstallandet av sakerhetsatgarden

Genom att implementera en sakerhetsatgard som kontrollerar behorigheterna fran och tillservern har vi effektivt byggt upp ytterligare en barriar i systemet. Detta medfor att tvaav varandra oberoende skyddsatgarder, vilka ar skyddet som IPS:en tillfor samt katalog-tjanstens egna kontroller pa behorigheterna, ar implementerade. Med de tva atgardernamildras effekten av att katalogtjansten svarar fel pa en forfragan. Om ett felsvar lamnarservern kommer det fangas upp i IPS:en som i sin tur utfor en fordefinierad atgard. Omdet tvartom ar IPS:en som slapper igenom ett fel kommer katalogtjansten neka forfraganoch pa sa satt kan systemet anses sakrare i det att bada skyddsmekanismerna maste fallerasamtidigt for att ett felsvar realiseras och paverka systemet som helhet.

8.3 Teoretiska scenariot

Det visade sig efter att ha undersokt funktionaliteten i brandvaggar med oppen kallkodatt stodet for upprattandet av en likvardig enhet med den eftersokta typen av funktio-nalitet inte fanns. De implementationer som var av intresse i arbetet var bland annatatt installera en eller flera proxy brandvaggar da den typen av brandvagg skiljer sig franmangden i det att till skillnad fran exempelvis en Packet Filtering Firewall och Packet-inspection Firewall gor det mojligt att initiera ett flode till brandvaggen som i sin turinitierar flodet till den avsedda servern och relaar informationen tillbaka till anvandaren.Detta hade i teorin gjort det mojligt att utfora autentiseringoch auktoriseringskontrollerpa flodet i brandvaggen. Proxy brandvaggen var tankt att konfigureras inline for att seg-mentera upp kontoren, inneha autentiseringsuppgifter och husera anvandarnas rattigheter.

Upprattandet av en sadan losning hade gett systemet en form av autentisering samt auk-torisation vilken i teorin ar en valdigt intressant tanke i det att IPS-funktionalitet, auten-tisering och auktorisation samlas pa ett centraliserat eller distribuerat brandvaggssystem.Anvandaren hade i praktiken behovt autentisera sig mot katalogtjansten samt att dennesbehorigheter aven kontrollerades pa nytt. Val autentiserad var tanken att bade brandvaggenoch katalogtjansten overvakar anvandarens forfragningar till de specifika resurserna. Omdetta experimentet och den eftersokta funktionalitet hade gatt i las skulle den eftersoktabarriaren kunna upprattas och katalogtjanstens skydd hade varit mer robust. Till dettakan aven RADIUS implementeras for att motverka att en anvandare lyckas logga in i ADoch nyttja natverket utan att ha behorighet till det.

24


9 Diskussion

Arbetet grundade sig i att utoka katalogtjanstens skydd. Detta genom att med sakerhets-hojande atgarder bygga upp en barriar mot eventuella felsvar fran en server. Som specifice-rat under resultatet visades utslag pa den eftersokta trafiken vilket ger en stark indikationpa att en IPS absolut kan vara av varde i att sakra upp atkomstbehorigheterna i ettIT-system. Med experimenten som grund kan det aven utlasas att genom implementatio-nen av en IPS skapas ytterligare ett skydd utover katalogtjanstens egna kontroller ochpa sa vis kravs det att bade IPS:en och katalogtjansten samtidigt ska missforsta en fragaoch godkanna en anvandare som inte ar behorig for att atkomstprinciperna ska brytashelt. Genom att ha uppnatt ovanstaende har aven fragestallningen besvarats i det att omIT-miljon utformas med IPS kan vi bygga upp ett extra skydd for atkomstprincipernasamt sakerstalla och pavisa att dessa haller det som lovats sa lange inte bada atgardernasfunktionalitet bryts samtidigt, i ett sadant fall hade felsvaren realiserats trots de imple-menterade atgarderna.

I experimentet som utfordes visade det sig att de upprattade signaturerna kan hitta ochagera pa trafikfloden hemmahorande i katalogtjansten. Daremot kan dessa inte anses de-finitiva i det att experimentet modifierades da problem uppstod i hur Snort betedde sigi inline-laget. Beteendet som uppvisades var inte tillfredsstallande och stallde till medproblem i hela miljons funktionalitet. Det lokala natverket fick en oregelbunden kontaktmellan enheterna som implementerades pa respektive sida av IPS:en. Genom att undersokaproblematiken med hjalp av bland annat Wireshark gick det att utlasa att vissa paket somfardades med samma protokoll gick igenom enheten medan andra inte gjorde det. Underanalysen av beteendet kopplades alla fordefinierade och egenskapade signaturer bort foratt utesluta signaturernas paverkan, detta med samma resultat som tidigare specificerat,vilket var att kontakten mellan enheterna fortfarande var oregelbunden. Detta tvingadescenariot att struktureras om nagot i det att IPS:en inte konfigurerades funktionsmassigti inline-laget. Daremot implementerades den inline i miljon och lat trafiken floda och avden anledningen kunde inte heller paketen behandlas med parametrar som att blockeraoch kasta trafik da dessa endast ar tillgangliga i inline-laget. Alarm-funktionen kundedock anvandas istallet for att pavisa vikten av en valkonfigurerad IPS. Detta var en tyd-lig begransning i experimentfasen men det gav inte upphov till att forkasta resultatet daeftersokt utslag gjorde sig synligt.

Vidare skapades endast en enklare signatur vilken bara eftersokte forfragningar till denspecifika mappen Arbete i trafikflodet. Denna signatur fungerade bra for att pavisa effektenmen for att implementera en liknande losning i en produktionsmiljo kravs storre eftertankei skapandet av signaturerna. De kan da behova vara nagot mer inkluderande av anvandare,behorighetsprinciper samt vilken typ av trafik som eftersoks. Signaturen skapades medve-tet i det statiska genomforandet for att forevisa den sakerhetshojande funktionen men detmedfor aven att den begransas da den inte ar redo for att sattas i bruk i sin nuvarandeform utan behover mer eftertanke och modifikation for det specifika scenariot den skaimplementeras i.

IPS:en och signaturerna matchar till viss del baserat pa IP-adresser vilket medfor att detkan bli svart att halla signaturerna uppdaterade med de specifika adresserna som delas utmed hjalp av DHCP da dessa over tid forandras kontinuerligt. Ytterligare en begransningsom visade sig, var att det kan vara svart att halla isar anvandare beroende pa hur miljon

25


ser ut samt hur klienter hanteras i IT-miljon. Detta om flera anvandare nyttjar sammaenhet, vilket medfor att de ”nya” anvandarna som nyttjar hardvaran kan overta tidigareanvandares IP-adress. Detta hade da genererat en false positive, vilket syftar till att enbehorig anvandare blir begransad atkomst till en viss resurs. Genom att i symbios medservens riktlinjer pa hur IP-adresser delas ut till respektive anvandare, hur dess regler serut och god insyn i IT-miljon kan denna problematik i teorin motverkas.

En rekommendation om en IPS-losning ska anvandas ar att styra signaturerna baseratpa olika natverkssegment istallet for per adress da dessa forandras over tid. Med andraord de olika adresspann som delas ut av DHCP som exempelvis guppen Ekonomi medett definierat och statiskt adresspann konfigureras med specifika resurser och baserat parattigheterna och adresspannet upprattar man en eller flera signaturer for att sakerstallaatt natverkssegmentet inte far tillgang till resursen om detta inte ar onskvart. Beroen-de pa var IPS:en implementeras kravs det olika dimensionerad hardvara dar det i vissafall kan racka med att uppratta en Raspberry Pi med Snort och i andra fall kan detkravas enterprise-serverhardvara, detta for att IPS:en ska kunna analysera trafikflodenoch atgarda dessa dar behovet finns effektivt.

For att kunna skapa en bra signatur kravs aven god insyn i systemet dar denna ska imple-menteras, bland annat i vilka tjanster som anvands, vilken trafik som flodar samt god insyni katalogtjansten och behorigheterna. Vidare galler aven att informationen sakerhetsklassasfor att gora det tydligt i vad som forvantas skyddas.

Experimentet med brandvaggen visade sig vara ogenomforbart pa grund av att stod forden eftersokta funktionaliteten inte var mojlig att fa i de mjukvarorna med oppen kallkodsom kontrollerades. Varken pfSense eller Sophos hade nagot uttalat stod for att kunnaautentisera och auktorisera anvandarna mot katalogtjansten enligt den tankta metoden.Om mojligheten fanns att kunna implementera brandvaggsregler, IPS-funktionalitet, au-tentisering och auktorisation av anvandare i en och samma enhet hade det medfort att enmer komplett och robust sakerhetshojande atgard hade kunnat implementeras.

10 Slutsatser

Med fragestallningarna som grund i arbetet var forhoppningen att hitta metoder som gjor-de det mojligt att mildra och/eller forhindra en hypotetisk sarbarhet vilken var att servrarmed katalogtjanster eventuellt svarar fel pa forfragningar och ger obehoriga anvandare el-ler organisationer tillgang till resurser som de inte ar behoriga till.

Vidare undersoktes det om en IPS kunde mildra och/eller motverka felsvar vilket visa-de sig vara mojligt. Detta uppnaddes genom att kontrollera trafikfloden fran olika kalloroch analysera paketen for att baserat pa uppsattningen regler kunna atgarda de eventuellabehorighetsovertradelserna. Daremot resulterade inte arbetet i en definitiv signatur sompassar alla IT-miljoer utan pavisar funktionaliteten, vidare kravs darfor att signaturernaskapas i syfte att na den avsedda IT-miljons krav.

Grundiden var att med hjalp av sakerhetshojande atgarder bygga upp ytterligare bar-riarer av skydd utover serverns egna. En brandvagg var aven tankt att agera barriar iIT-systemet men det visade sig att det inte fanns stod for funktionalitet som bland annatautentisering och auktorisering av anvandare. IPS:en byggde effektivt upp ytterligare en

26


barriar utover katalogtjanstens egna sakerhet vilket gav den eftersokta funktionaliteten.Pa grund av att bade IPS:en och katalogtjansten samtidigt maste ta fel pa forfragningarnafor att ett felsvar faktiskt ska realiseras kan vi baserat pa detta pavisa atgardens signifikanssett till sakerheten.

11 Framtida arbete

Vid framtida arbeten kring fragan om atkomstprinciper kan brytas pa grund av fel iservrars svar pa forfragor till specifika resurser kravs ett gediget arbete kring signaturernasutformning baserat pa vilka IT-miljoer dessa ska implementeras i. Det bor aven efterstravasatt uppna ett stadie pa hur IPS:en behandlar forandringar i natverk och behorigheternapa ett strukturerat satt. Vidare bor det aven undersokas om det ar mojligt att med hjalpav dynamiska signaturer som skapas i symbios med Active Directory kan styra anvandar-och behorighetsregister. For att kunna implementera brandvaggen i det genomforandesom beskrivs i arbetet kravs forst och framst stod for funktionaliteten darefter kan idenutvecklas vidare samt praktiskt implementeras.

27


Referenser

[1] R. Blair and A. Durai, “Chapter 1: Types of firewalls,” [Online]. Available: https://www.networkworld.com/article/2255950/lan-wan/chapter-1--types-of-firewalls.html?page=2, Date last accessed on 2018-04-23.

[2] Myndigheten for samhallsskydd och beredskap (MSB), Vagledning – in-formationssakerhet i upphandling. MSB, April,2013. [Online]. Available:https://www.msb.se/RibData/Filer/pdf/26589.pdf

[3] Forsvarsmakten, “Ksf:krav pa it-sakerhetsformagor hos it-system,” [Online]. Availab-le: http://isd.fmv.se/Documents/krav-pa-godkanda-sakerhetsfunktioner-version-3-1.pdf, Date last accessed on 2018-03-06.

[4] Z. Rosander, S. Styrenius och A. Wiklund, Sakerhetskrav pa IT - system som ar avsed-da for behandling av personuppgifter. Forsvarsmakten, 2013 - 06 -26. [Online]. Avai-lable: http://isd.fmv.se/Documents/HKV%202013-06-26%2010%20750.59802%20S%c3%a4kerhetskrav%20IT-system%20avsedda%20f%c3%b6r%20personuppgifter.pdf

[5] W. Panek and J. Chellis, MCTS Windows Server 2008 Active Directory ConfigurationStudy Guide: Exam 70-640. Wiley, 2012.

[6] B. Desmond, J. Richards,R. Allen and A.G. Lowe-Norris, Active Directory: Designing,Deploying, and Running Active Directory. O’Reilly Media, 2013.

[7] D. Stiawan, M. Yazid Bin Idris, A. Hanan Abdullah, M. AlQurashi and R. Budiarto,“Penetration testing and mitigation of vulnerabilities windows server,” I. J. NetworkSecurity, vol. 18, no. 3, pp. 501–513, 2016.

[8] P. Tsai, “Server virtualization and os trends,” [Online]. Available: https://community.spiceworks.com/networking/articles/2462-server-virtualization-and-os-trends, Datelast accessed on 2018-01-29.

[9] C. Metz, “Aaa protocols: authentication, authorization, and accounting for the inter-net,” IEEE Internet Computing, vol. 3, no. 6, pp. 75–79, Nov 1999.

[10] C. Rigney, S. Willens Livingston, A. Rubens Merit and W. Simpson Daydreamer,“Remote Authentication Dial In User Service (RADIUS),” Internet Requestsfor Comments, RFC Editor, RFC 2818, June 2000. [Online]. Available:http://www.rfc-editor.org/rfc/rfc2865.txt

[11] S. Geric and Z Hutinski, “Information system security threats classifications,” Journalof Information and organizational sciences, vol. 31, no. 1, pp. 51–61, 2007.

[12] D. Piscitello, “Threats, vulnerabilities and exploits – oh my!” [Online]. Available:https://www.icann.org/news/blog/threats-vulnerabilities-and-exploits-oh-my, Datelast accessed on 2018-02-26.

[13] M. E. Whitman, “Enemy at the gate: threats to information security,” Communica-tions of the ACM, vol. 46, no. 8, pp. 91–95, 2003.

[14] D. Kamal, M. Bassil and T. Ahmad Bisher, “A survey of risks, threats andvulnerabilities in cloud computing,” in Proceedings of the 2011 InternationalConference on Intelligent Semantic Web-Services and Applications, ser. ISWSA

28

https://www.networkworld.com/article/2255950/lan-wan/chapter-1--types-of-firewalls.html?page=2



https://www.msb.se/RibData/Filer/pdf/26589.pdf

http://isd.fmv.se/Documents/krav-pa-godkanda-sakerhetsfunktioner-version-3-1.pdf

http://isd.fmv.se/Documents/krav-pa-godkanda-sakerhetsfunktioner-version-3-1.pdf

http://isd.fmv.se/Documents/HKV%202013-06-26%2010%20750.59802%20S%c3%a4kerhetskrav%20IT-system%20avsedda%20f%c3%b6r%20personuppgifter.pdf

http://isd.fmv.se/Documents/HKV%202013-06-26%2010%20750.59802%20S%c3%a4kerhetskrav%20IT-system%20avsedda%20f%c3%b6r%20personuppgifter.pdf

https://community.spiceworks.com/networking/articles/2462-server-virtualization-and-os-trends

https://community.spiceworks.com/networking/articles/2462-server-virtualization-and-os-trends

http://www.rfc-editor.org/rfc/rfc2865.txt

https://www.icann.org/news/blog/threats-vulnerabilities-and-exploits-oh-my


’11. New York, NY, USA: ACM, 2011, pp. 12:1–12:6. [Online]. Available:http://doi.acm.org/10.1145/1980822.1980834

[15] J. Stamp, A. McIntyre and B. Ricardson, “Reliability impacts from cyber attackon electric power systems,” in Power Systems Conference and Exposition, 2009.PSCE’09. IEEE/PES. IEEE, 2009, pp. 1–8.

[16] M. Portnoy, Virtualization essentials. John Wiley & Sons, 2012, vol. 19.

[17] R. Birke, A. Podzimek, L. Y. Chen and E. Smirni, “State-of-the-practice in datacenter virtualization: Toward a better understanding of vm usage,” in 2013 43rdAnnual IEEE/IFIP International Conference on Dependable Systems and Networks(DSN), June 2013, pp. 1–12.

[18] Oracle, “Virtualbox manual ch01,” [Online]. Available: https://www.wireshark.org/about.html, Date last accessed on 2017-04-10.

[19] D. Bombal and J. Duponchelle, “Getting started with gns3,” [Online]. Available:https://docs.gns3.com/1PvtRW5eAb8RJZ11maEYD9 aLY8kkdhgaMB0wPCz8a38/index.html, Date last accessed on 2018-02-26.

[20] J. C. Neumann, The Book of GNS3: Build Virtual Network Labs Using Cisco, Juniper,and More. No Starch Press, 2015.

[21] L. Chappell and G. Combs, Wireshark network analysis: the official Wireshark certi-fied network analyst study guide. Protocol Analysis Institute, Chappell University,2010.

[22] A. Abdelkarim and H. Nasereddin, “Intrusion prevention system,” vol. 3, pp. 432–434,01 2011.

[23] Palo Alto, “What is an intrusion prevention system?: Intrusion prevention anddetection system basics,” [Online]. Available: https://www.paloaltonetworks.com/cyberpedia/what-is-an-intrusion-prevention-system-ips, Date last accessed on 2018-03-16.

[24] D. Burns, O. Adesina and K. Barker, CCNP security IPS 642-627 official cert guide.Cisco Press, 2011.

[25] S. Jain, A. Vaibhav and L. Goyal, “Raspberry pi based interactive home automationsystem through e-mail,” in 2014 International Conference on Reliability Optimizationand Information Technology (ICROIT), Feb 2014, pp. 277–280.

[26] M. R. DeLong, A. Ingham, R. Carter, R. Franke, M. Wehrle, R. Biever, and C. Kneifel,“Protecting sensitive research data and meeting researchers needs: Duke university’sprotected network,” 1710.03317, 2017.

[27] C. H. Hsieh, C. M. Lai, C. H. Mao, T. C. Kao and K. C. Lee, “Ad2: Anomaly detectionon active directory log data for insider threat monitoring,” in 2015 InternationalCarnahan Conference on Security Technology (ICCST), Sept 2015, pp. 287–292.

[28] D. Chadwick, “Threat modelling for active directory,” in Communications and Mul-timedia Security. Springer, 2005, pp. 173–182.

29

http://doi.acm.org/10.1145/1980822.1980834

https://www.wireshark.org/about.html

https://www.wireshark.org/about.html

https://docs.gns3.com/1PvtRW5eAb8RJZ11maEYD9_aLY8kkdhgaMB0wPCz8a38/index.html

https://docs.gns3.com/1PvtRW5eAb8RJZ11maEYD9_aLY8kkdhgaMB0wPCz8a38/index.html

https://www.paloaltonetworks.com/cyberpedia/what-is-an-intrusion-prevention-system-ips

https://www.paloaltonetworks.com/cyberpedia/what-is-an-intrusion-prevention-system-ips


[29] W. Claycomb and D. Shin, “Protecting sensitive information in directory servicesusing virtual directories,” in International Conference on Collaborative Computing:Networking, Applications and Worksharing. Springer, 2008, pp. 244–257.

[30] The Snort Team, “Snortusers manual 2.9.11,” [Online]. Available: http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node1.html, Date last acces-sed on 2018-05-15.

30

http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node1.html

http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node1.html