Honeynet

Abstract

Internet on käymässä vaaralliseksi paikaksi. Monenlaiset tietoturvaloukkaukset ja tunkeutumisyritykset uhkaavat sekä tavallisten kotikäyttäjien tietokoneita että yritysmaailman laitteita ja lähiverkkoja, ja tavoitteena on niiden kaappaaminen rikollisten hallintaan. Tietotekniikkaan liittyvä rikollisuus on muuttunut ammattimaiseksi, ja sen tavoitteeksi on noussut puhtaan taloudellisen hyödyn saaminen. Tietokoneiden turvaohjelmien loppukäyttäjien on hankala varmistaa tietoturvan toteutuminen siitäkin huolimatta, että järjestelmän päivitykset olisi suoritettu ja että käytettäisiin tehokkaita suojausohjelmia. Lisäksi hyökkäävä puoli on aina aloitteentekijä tietoturvaloukkauksissa. Tässä opinnäytetyössä tutkitaan the Honeynet Projectin tekniikkaa, joka mahdollistaa aktiivisen tavan seurata verkon tapahtumia ja vastata tietoturvauhkiin. The Honeynet Project on internetyhteisö, joka on kehittänyt ideaa tuotantoympäristön ulkopuolelle sijoitettavasta suojaamattomasta tietoverkosta, joka tarjoaa ulkopuolisille aitoa ympäristöä vastaavan hyökkäyskohteen. Kyseinen tietoverkko on vahvan tarkkailun alla, ja hyökkäyksissä käytetyt menetelmät saadaan paljastettua yhteisön kehittämien välineiden avulla. Yhteisön verkkosivuilla on myös osio, jossa aikaisemmin tallennettua hyökkäysdataa puretaan ja lisätään tällä tavalla yleistä tietoutta erilaisista uhkista ja tavoista, joilla niitä vastaan voidaan varustautua. Työssä on vertailtavana kaksi erilaista verkkomallia, jotka on rakennettu edellä mainitun idean pohjalta. Kummankin verkon toiminnan tarkoitus on kaiken liikenteen tallentaminen ja tapahtumien erittelyn mahdollistaminen jälkikäteen. Toinen verkoista edustaa alkuperäistä honeynet-mallia, jossa käytetyt laitteet ja apuohjelmat ovat toteutettavissa miltei minkä tahansa Linux-jakelun mukana tulevilla ohjelmilla. Toinen verkko käyttää tätä tarkoitusta varten suunniteltua ohjelmistoa, joka muuttaa sopivilla laitteilla varustetun PC-tietokoneen verkon kontrolli- ja analysointipisteeksi. Työn kuluessa kummatkin verkot ja niihin kuuluvat laitteet rakennetaan alusta asti toimiviksi kokonaisuuksiksi sekä suoritetaan testijaksot, joiden aikana liikkunut data tallennetaan kokonaisuudessaan. Datan analysoinnin tulokset esitetään melko pintapuolisesti, koska muuten aihe laajenisi paljon tämän opinnäytetyön ulkopuolelle. Työn aikana käy ilmi, että kumpaakin honeynetmallia voidaan hyvin käyttää ulkopuolelta tulevan liikenteen kartoittamiseen, mutta uudempi malleista tarjoaa tähän helpomman ja tietoturvallisemman tavan.

The Internet has become a dangerous place. There are many kinds of security threats which make connecting to the Internet unsafe. Criminals in the field of information technology act like any other professionals whose goal is to maximize economical benefit. Their product is access to compromised computers and they hire the possibility to use that computing power for criminal purposes. Despite the fact that there are numerous security programs which can be used in order to protect computers against attackers' attempts to exploit them, it might be difficult to determine the level of information security. Moreover, the defending mechanisms are always quite passive, leaving the initiative to the attacker. The aim of this thesis is to study Honeynet, a technique which makes it possible to actively monitor the acts of the attacker and learn his methods and motives. This technique was invented by an internet community called the Honeynet Project. The main idea is to build a network which is left unsecured, except for some traffic restrictions, and to monitor the network traffic thoroughly. The network operates like a real one and it is impossible for the attacker to notice being under monitoring. The community has developed many powerful tools which make the acts of the attacker visible to the monitor, even when communication is encrypted. The Honeynet Project has also gathered detailed information about attacks and they share that information in the internet site of the project. In the case section of the thesis, two different honeynets were built and configured. The first honeynet has the original honeynet structure and it includes only parts available in almost every freely downloadable Linux distribution. The second honeynet structure includes an extra device, which is programmed especially for that purpose. All parts are still open source and freely available. In addition, the honeynets include victim computers called honeypots running common operating systems. Both honeynets went through testing sequences and during that period all communication data was captured and analyzed. Experience from the testing period and obtained results showed that both honeynet models are capable of capturing data accurately, but generation II honeynet is more secure and offers a more flexible way to monitor and analyze data.