Abstract | Upoznati se sa Security Onion Linux distribucijom i njezinim primjenama bio je cilj ovoga završnog rada. Kako bi taj cilj bio ostvaren korištena je Oracle VM VirtualBox na kojemu je virtualizirana i osposobljena navedena distribucija. Nadalje, objašnjen je princip mrežnog sigurnosnog monitoringa na kojemu se temelji rad Security Onion Linux distribucije te svakodnevne zadaće i postupci održavanja iste. Proučeno je nekoliko alata koji rade sa potpunim paketima te par scenarija koji demonstriraju neke od primjena. Tcpdump i u dijelovima Tcpreplay, alatima tekstualnog sučelja, prikazano je manipuliranje .pcap datotekama, što su datoteke sa podacima potpunih paketa. Kako ih je moguće spremiti, čitati, ponovno prenositi mrežom. Nadalje NetworkMiner, alatom grafičkog sučelja, prikazan je scenarij primanja prijeteće elektroničke pošte te kako je moguće otkriti stvarnu osobu koja se krije iza anonimnosti interneta. NSM konzolom Sguil prikazan je proces razlučivanja i kategoriziranja IDS uzbuna vezanih za port scanove, jednih od prvih napada koji se događaju i samim time omogućuju provalniku neovlašteni pristup sustavu i osjetljivim informacijama koje se na njemu nalaze. Konkretnih rezultata nije bilo u ovome radu, no stečeno je bolje razumijevanje potencijalnih slabosti i rizika prisutnih u mreži, kao i shvaćanje suparnika koji pokušavaju iskoristiti te slabosti. Također ostvaren je dobar temelj za daljnje poboljšanje sigurnosti i otkrivanje novih načina i rješavanja nepredviđenih problema. |
Abstract (english) | The goal of this bachelor's thesis was getting familiar with Security Onion Linux distribution and its applications. To achieve this, Oracle VM VirtualBox was used, on which the distribution is virtualized and enabled. Furthermore, the concept of Network Security Monitoring (NSM) which is the basis for Security Onion Linux distribution is explained, along with everyday tasks and management chores necessary for optimal performance of the system. A number of tools which either use or generate full packet captures, which are stored in .pcap files, together with a couple of scenarios that example the SO applications, are also looked at. Tcpdump and Tcpreplay, are command-line tools that enable the manipulation of .pcap files such as: reading, writing and replaying them over the network. Moreover, NetowrkMiner, the GUI tool, shows the harassing e-mail scenario, in which the person hiding behind the anonymity of the Internet, is revealed. Lastly, the NSM console Sguil demonstrates the process of categorizing IDS alerts generated by port scans, which are first of attacks that the intruder attempts, because they show him the way into the targeted network. This thesis did not have actual results, but it resulted in a better understanding of weaknesses that are present in the network and intruders that want to exploit those weaknesses. Likewise, a good foundation was set for further security upgrades and finding new ways to solve unexpected problems. |