Projecto

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Home : Projectos : Página do projecto : Apresentação

IDS in a BOX

Engenharia Informática

Bruno Gonçalves, nº33622; , a33622@alunos.ipb.pt
Daniel Ramos, nº33870, a33870@alunos.ipb.pt

Orientador: Tiago Pedrosa, riftman@ipb.pt

Coorientador: José Rufino, rufino@ipb.pt

 

Objectivos

  • Os objetivos deste projeto baseiam-se, resumidamente, em:

    - Criar uma solução de IDS na rede fácil de configurar e colocar no cliente;

    - Receber resumos de tentativa de ataque;

    - Permitir atualização automática a partir dos feeds provenientes de Open Source Intelligence (OSINT);

    - Criar relatórios de intrusão com os dados associados ao ataque.

 

Descrição

O IntelMQ recebe os feeds provenientes do OSINT e os bots interpretam a informação recebida e guardam-a num ficheiro. A partir desse ficheiro, criou-se uma blacklist para fornecer ao Suricata que vai lançar os alertas. Esses alertas são colocados numa base de dados para criar relatórios para fornecer aos profissionais, através do envio de um email.

 

Resultados

Este projeto desenvolveu uma solução auto-contida capaz de se atualizar automaticamente através de feeds provenientes do IntelMQ. Conseguiu-se também através dos feeds criar regras que o IDS Suricata consegue compreender, e com os alertas do Suricata criou-se uma base de dados para ser mais fácil extrair posteriormente informação. Com suporte na base de dados desenvolveram-se algumas queries para obter informação estruturada e com esta informação criaram-se tabelas com resultados e alguns gráficos para facilitar a análise dos dados. A criação de relatórios foi automatizada com um script, que após o criar, o envia também de seguida ao administrador da rede para ele ter conhecimento do que se passou no dia anterior.

 

Conclusões e trabalho futuro

Na elaboração desta solução conseguiram-se cumprir todos os objetivos propostos, obtendo-se uma solução funcional que após alguns passos (como configurar a conta de email) está pronta a ser utilizada e pode ser entregue ao cliente. Foram encontradas algumas dificuldades ao longo da realização do projeto, nomeadamente na instalação do IntelMQ, no desconhecimento de ferramentas adequadas para programar em python e um fraco conhecimento prévio de estruturas de redes. Para além destas, visto que se está analisar tráfego de redes é difícil testar a solução em ambiente real devido à informação sensível e confidencial que poderíamos encontrar. Como soluções de melhoria para o trabalho efetuado propõem-se a criação de um site para facilitar mais a gestão e controlo do sistema.

 

 

 

Webmaster - cti@ipb.pt :: Alojamento - Laboratório de Informática :: Webdesign - Serviços de Imagem do IPB / CTI
Departamento de Informática e Comunicações
Escola Superior de Tecnologia e de Gestão - Instituto Politécnico de Bragança