Verkon havainnointi hunajapurkeilla ja tunkeutumisen havaitsemisjärjestelmällä.
Norrgård, Mika (2013)
Norrgård, Mika
2013
Tietotekniikan koulutusohjelma
Tuotantotalouden ja rakentamisen tiedekunta - Faculty of Business and Built Environment
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2013-06-05
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tty-201306171270
https://urn.fi/URN:NBN:fi:tty-201306171270
Tiivistelmä
Tietoturvallisuuden tärkeys kasvaa jatkuvasti kiihtyvällä vauhdilla. Pienien kannettavien päätelaitteiden yleistyessä niitä isännöivien verkkojen suojaaminen tulee haastavaksi ja on pyrittävä yhdistelemään yhä erilaisempia suojautumistekniikoita hyökkääjien havaitsemiseksi. Hunajapurkit toimivat verkossa hyökkäyksiä havaitsevina sensoreina. Koska ne esiintyvät verkossa yhtenä verkon koneista, niihin usein kohdistuu verkon skannaukset ja sellaiset yhteydenotot, jotka verkkoon eivät kuulu. Hunajapurkit asetetaan yleensä sellaisiin IP-osoitteisiin tai IP-avaruuteen, jotka eivät ole käytössä. Tällöin voidaan kaikki sille saapuva liikenne laskea epäilyttäväksi. Liikenteestä kerättyjä lokitietoja voidaan yhdistellä verkon muiden havainnointijärjestelmien kanssa tarkemman ymmärryksen saavuttamiseksi.
Tutkimuksessa pyrittiin testaamaan Honeyd-hunajapurkkeja ja tunkeutumisen havaitsemisjärjestelmä Snortia verkon tarkkailussa. Hunajapurkit ja tunkeutumisen havaitsemisjärjestelmä yhdistettiin keskittimeen, joka vuorollaan yhdistettiin viiteen erilaiseen verkkorakenteeseen. Näistä viidestä tapauksesta yksi oli sisäverkosta tapahtuvan hyökkäyksen havainnointia, yksi oli ADSL-yhteyden kautta tulevan liikenteen havainnointia ja kolme oli matkapuhelinverkon kautta tulevan liikenteen havainnointia. Matkapuhelinverkon kautta tulleet tapaukset erosivat toisistaan sillä, että ensimmäisessä havainnointiin DMZ-alueelle tullutta liikennettä, toisessa havainnoitiin virtuaalipalvelimen verkkoon ohjaamaa liikenttä ja kolmannessa luotiin kolmen hunajapurkin hunajaverkko, jolle liikenne ohjattiin.
Tutkimus osoittaa, että hunajapurkit tuovat hyvän lisän verkon tunkeutumisen havaitsemiseen. Niiden avulla saadaan liikennöinnistä sellaista tietoa, joka saattaa jäädä muilla tavoin verkkoa tarkkailevilta menetelmiltä huomaamatta.
Tutkimuksessa pyrittiin testaamaan Honeyd-hunajapurkkeja ja tunkeutumisen havaitsemisjärjestelmä Snortia verkon tarkkailussa. Hunajapurkit ja tunkeutumisen havaitsemisjärjestelmä yhdistettiin keskittimeen, joka vuorollaan yhdistettiin viiteen erilaiseen verkkorakenteeseen. Näistä viidestä tapauksesta yksi oli sisäverkosta tapahtuvan hyökkäyksen havainnointia, yksi oli ADSL-yhteyden kautta tulevan liikenteen havainnointia ja kolme oli matkapuhelinverkon kautta tulevan liikenteen havainnointia. Matkapuhelinverkon kautta tulleet tapaukset erosivat toisistaan sillä, että ensimmäisessä havainnointiin DMZ-alueelle tullutta liikennettä, toisessa havainnoitiin virtuaalipalvelimen verkkoon ohjaamaa liikenttä ja kolmannessa luotiin kolmen hunajapurkin hunajaverkko, jolle liikenne ohjattiin.
Tutkimus osoittaa, että hunajapurkit tuovat hyvän lisän verkon tunkeutumisen havaitsemiseen. Niiden avulla saadaan liikennöinnistä sellaista tietoa, joka saattaa jäädä muilla tavoin verkkoa tarkkailevilta menetelmiltä huomaamatta.