Ονοματεπώνυμο: Βρεσάης Ιάσων-Δαυίδ
Αριθμός Μητρώου: ΤΛ20206

Θέμα: Σχεδίαση και Υλοποίηση Συστήματος Ανίχνευσης και Απόκρουσης Επιθέσεων (IDS/IPS) σε Raspberry Pi  και Προσομοίωση Κυβερνοεπιθέσεωv

Τίτλος στα αγγλικά: Design and Implementation of an Intrusion Detection and Prevention System (IDS/IPS) on Raspberry Pi and Simulation of Cyberattacks

Επιβλέπων:
Μπαρμπουνάκης Ιωάννης

Τριμελής Επιτροπή
1. Μπαρμπουνάκης Ιωάννης
2. Χατζάκης Ιωάννης
3. Κόκκινος Ευάγγελος

ΠΕΡΙΛΗΨΗ

Η παρούσα πτυχιακή εργασία επικεντρώνεται στον σχεδιασμό και την υλοποίηση ενός οικονομικού και φορητού συστήματος κυβερνοασφάλειας βασισμένου στην πλατφόρμα Raspberry Pi 3. Στόχος της μελέτης είναι η αξιοποίηση μιας embedded συσκευής περιορισμένων υπολογιστικών πόρων ως ενδιάμεσου κόμβου ασφαλείας (Gateway), ικανού να λειτουργεί ταυτόχρονα ως δρομολογητής (Router) και ως σύστημα ανίχνευσης και πρόληψης επιθέσεων (IDS/IPS).

Στο προτεινόμενο μοντέλο, το Raspberry Pi τοποθετείται μεταξύ του κεντρικού δρομολογητή και του τοπικού δικτύου (LAN), επιτρέποντας τον έλεγχο, την επιθεώρηση και το φιλτράρισμα της διερχόμενης δικτυακής κίνησης σε πραγματικό χρόνο. Για την υλοποίηση των μηχανισμών προστασίας χρησιμοποιήθηκε το Suricata, το οποίο ρυθμίστηκε με λειτουργία σε σειρά ανάμεσα απο τον δρομολογητή και το προστατευόμενο σύστημα (Inline Mode), παρέχοντας τη δυνατότητα όχι μόνο ανίχνευσης αλλά και δυναμικής απόκρισης σε κακόβουλη δραστηριότητα μέσω packet dropping και αποκλεισμού επιτιθέμενων συστημάτων.

Λόγω των περιορισμένων δυνατοτήτων του Raspberry Pi 3, δόθηκε ιδιαίτερη έμφαση στη βελτιστοποίηση των διαθέσιμων πόρων. Για τον λόγο αυτό επιλέχθηκε διαχείριση αποκλειστικά μέσω γραμμής εντολών (CLI), αποφεύγοντας τη χρήση γραφικών περιβαλλόντων που θα επιβάρυναν το σύστημα. Παράλληλα, αναπτύχθηκαν προσαρμοσμένοι μηχανισμοί παρακολούθησης και φιλτραρίσματος ειδοποιήσεων, με σκοπό τη σαφή και άμεση αναγνώριση κρίσιμων συμβάντων ασφαλείας σε πραγματικό χρόνο.

Η αξιοπιστία και η αποτελεσματικότητα του συστήματος αξιολογήθηκαν μέσω ρεαλιστικών σεναρίων επιθέσεων σε εργαστηριακό περιβάλλον. Συγκεκριμένα, εξετάστηκε η ικανότητα ανίχνευσης reconnaissance δραστηριοτήτων μέσω Nmap scans, η αντιμετώπιση επιθέσεων άρνησης υπηρεσίας (DoS) τύπου TCP SYN, UDP και ICMP Flood, καθώς και η προστασία από SSH brute force επιθέσεις μέσω δυναμικών μηχανισμών αποκλεισμού IP διευθύνσεων.

Τα αποτελέσματα των δοκιμών έδειξαν ότι το Raspberry Pi 3 μπορεί να λειτουργήσει αποτελεσματικά ως χαμηλού κόστους IDS/IPS gateway για μικρά τοπικά δίκτυα, εφόσον πραγματοποιηθεί σωστή διαχείριση των διαθέσιμων πόρων και των μηχανισμών καταγραφής. Παράλληλα, η μελέτη ανέδειξε περιορισμούς που σχετίζονται με την αυξημένη χρήση CPU και μνήμης κατά τη διάρκεια έντονου δικτυακού φόρτου και μακροχρόνιας λειτουργίας, γεγονός που μπορεί να επηρεάσει τη συνολική απόδοση του συστήματος. Η εργασία ολοκληρώνεται με την παρουσίαση μετρήσεων απόδοσης και προτάσεων για μελλοντική επέκταση και βελτίωση της υλοποίησης.

Λέξεις Κλειδιά : Raspberry Pi 3, Suricata, IDS/IPS, Inline Mode, Δρομολόγηση Δικτύου, Κυβερνοασφάλεια, Προσομοίωση Επιθέσεων, DoS, Nmap, Nikto, CLI.

 

Περίληψη στα Αγγλικά (Abstract) :

This undergraduate thesis focuses on the design and implementation of a low-cost and portable cybersecurity system based on the Raspberry Pi 3 platform. The primary objective of the study is to utilize a resource-constrained embedded device as an intermediate security gateway capable of operating simultaneously as a router and as an Intrusion Detection and Prevention System (IDS/IPS).

In the proposed architecture, the Raspberry Pi is positioned between the main router and the local area network (LAN), enabling real-time monitoring, inspection, and filtering of network traffic. The security mechanisms were implemented using Suricata, configured in inline mode between the router and the protected system. This configuration provides not only intrusion detection capabilities but also dynamic response mechanisms against malicious activity through packet dropping and attacker IP blocking.

Due to the hardware limitations of Raspberry Pi 3, particular emphasis was placed on resource optimization. For this reason, system management was performed exclusively through a Command-Line Interface (CLI), avoiding graphical environments that would increase system overhead. In addition, customized monitoring and alert-filtering mechanisms were developed to ensure clear and immediate identification of critical security events in real time.

The reliability and effectiveness of the system were evaluated through realistic cyberattack scenarios within a laboratory environment. Specifically, the study examined the detection of reconnaissance activities using Nmap scans, mitigation of Denial-of-Service (DoS) attacks including TCP SYN, UDP, and ICMP Flood attacks, as well as protection against SSH brute-force attacks through dynamic IP blocking mechanisms.

The experimental results demonstrated that the Raspberry Pi 3 can operate effectively as a low-cost IDS/IPS gateway for small local networks, provided that appropriate resource management and logging optimization techniques are applied. At the same time, the study highlighted limitations related to increased CPU and memory usage during periods of heavy network traffic and long-term operation, factors that may affect overall system performance. The thesis concludes with performance measurements and recommendations for future improvements and extensions of the implementation.

 

Keywords: Raspberry Pi 3, Suricata, IDS/IPS, Inline Mode, Network Routing, Cybersecurity, Cyberattack Simulation, DoS, Nmap, Nikto, CLI.

 

Ημερομηνία Εξέτασης: 28/5/2026 – 13:30.

Χώρος Εξέτασης: Αίθουσα 2, Δυτικό Κτήριο, Τμήμα Ηλεκτρονικών Μηχανικών, ΕΛΜΕΠΑ, Ρωμανού 3, Χανιά

Διαδικτυακά: https://meet.google.com/wyx-tzur-din