Bruk av Honeynett for å analysere trusler mot datanettverk

Abstract

Denne oppgaven er et studie i hvordan bruke et Honeynett som et verktøy for å observere og analysere de trusler som dag finnes på Internett. Det ble først foretatt et litteraturstudium, både teknisk om Honeynett-teknologi og mer teoretisk om de aktuelle trusler som er aktive på dagens Internett. Design av Honeynettet ble utført i samråd med både Proseq og HiA[12], der skolen hadde det endelige ord da deres nettverksressurser ble benyttet. Det ble utført fem forsøk som omhandlet både passiv og aktiv lokking. Resultatene av disse forsøkene viste indikasjoner på at aktiv lokking ved normal bruk av nettet, ikke nødvendigvis er mer effektiv enn ved passiv lokking. Det viste seg at oppsett av standardtjenester som FTP og HTTP var effektivt som tiltrekningmetoder. Ved tre av forsøkene ble maskinene tatt grunnet feil ved FTP-tjenesten. Det ser også ut til at det finnes et stort antall angripere på Internett. Det kan virke som om at de fleste angrep på oss ikke var selektive, eller målrettet, men angrep blindt etter tjenester som lett kan utnyttes. Dette vil selvsagt være spekulasjoner, men ut ifra den tidsperioden vi hadde til rådighet var dette det vi kom fram til. Angriperne våre hadde forskjellige formål med å ta over maskinene, men det viste seg også at i store trekk at formålet var å bruke disse i videre angrep. En mer omfattendes analyse ble ikke foretatt grunnet begrensinger i tid og de begrensinger vi fikk fra HiA.