IPsec Intrusion Detection Analysis : Using data from an Ericsson Ethernet Interface Board

Amso, Julian, Faienza, Achille

January 2008

IP security (IPsec) is commonly used for protection in Virtual Private Networks (VPN). It is also used for the protection of traffic between nodes in third generation (3G) mobile networks. The main duty of telecommunication operators is to assure the quality of service and availability of the network for their users. Therefore knowledge of threats that could affect these requirements is of relevance. Denial of Service (DoS) and other attacks could constitute serious threats in 3G networks and, if successful, they could lead to financial and reputation damage for the telecommunication operator. One of the goals of each telecommunications vendor is to produce equipment and software in such a way as to reduce the risk of successful attacks upon networks built using their equipment and software. This master’s thesis aims to identify the classes of attacks that could affect the regular operation of an IPsec-protected network. Therefore, the IPsec protocol and its possible weaknesses are explained. As practical demonstration of these ideas, an Intrusion Detection Analyzer prototype for an Ericsson Ethernet Interface board was developed to detect anomalous IPsec-protected traffic. / IP Security (IPsec) protokollet används bl.a. för att skydda Virtuellt Privat Nätverk (VPN). Protokollet används även för att skydda noderna i tredje generationens (3G) mobila nätverk. Telekomoperatöreranas uppgift går bl.a. ut på att se till att de mobila näten är tillgängliga för användarna samt garanterna en viss garanterad tjänstekvalitet. Därför är kunskapen om de olika hoten som påverkar dessa faktorer relevant. Överbelastningsattacker och andra attacker kan utgöra ett stort hot mot bl.a. 3G nät. Om dessa attacker lyckas kan de leda till finansiella skador och ett skadat anseende för telekomoperatörerna. Ett av målen för telekomtillverkarna är att tillverka produkter och program som kan minimera riskerna för en attack och skadorna som åstadkoms på ett nätverk uppbyggt med deras utrustning. Detta examensarbete har som mål att identifiera de olika typer av attacker som kan påverka driften av IPsec-skyddade nätverk. IPsecprotokollet och dess svagheter är förklarade. Svagheter och problem med vissa implementationer nämns också. I detta arbete ingår också att utveckla en Intrusion Detection Analyzer prototyp för ett Ericssons Ethernet Gränssnitt kort för att upptäcka avvikande IPsecskyddad trafik

IPsec

IDS

Intrusion

Attack

Detection

VPN

3G

ET-MFX

Security

Communication Systems

Kommunikationssystem