Abstract : | This diploma thesis aims at studying and demonstrating the role of honeypots as a means of adopting active defense practices in cyber security. Its purpose is to describe several possible implementations of the honeypot concept in both perimeter security and research, analyze different deployment strategies and deception techniques, and present their contribution to security as well as the problems that may arise from their use. The thesis covers honeypots as described in international literature followed by a custom deployment of a honeynet lab which was hosted in the premises of a Greek cyber security services company. The lab includes three honeypot virtual machines, simulating five high-vulnerability digital services: SSH and telnet remote access, SIP/PJSIP VoIP telephony protocols, and a Wordpress-based web page. These honeypots forward logs to a virtual machine hosting a SIEM (Security Information and Event Management) system, parsing them and collecting threat intelligence. The process of configuring the honeypot network as well as security hardening and isolation is also presented. Findings extracted during the operation of the honeynet lab include the detection of tens of thousands of attacks while recording their attack patterns. Attack types of dominant frequency were selected to be analyzed in terms of their techniques and motives. Finally, the value of honeypots in local security hardening and threat intelligence research is estimated, in correlation with lessons learnt from this specific lab. Future development of the lab is also outlined. Η παρούσα διπλωματική εργασία αποσκοπεί στην μελέτη και την παρουσίαση του ρόλου των honeypots σα μέσο ιυοθέτησης πρακτικών ενεργητικής άμυνας στην κυβερνοασφάλεια. Στόχος της είναι η περιγραφή διαφορετικών προσεγγίσεων της έννοιας του honeypot στην ασφάλεια υποδομών και την έρευνα, η ανάλυση των πιθανών μεθόδων διάταξης και των τεχνικών παραπλάνησης, και η παρουσίαση της συνεισφοράς του στην ασφάλεια όπως και των προβλημάτων που μπορεί να προκύπτουν από την χρήση του. Η εργασία καλύπτει τα honeypots όπως περιγράφονται στη διεθνή βιβλιογραφία και ακολουθεί η εγκατάσταση ενός εργαστηριακού δικτύου από honeypot, φιλοξενούμενο στις εγκαταστάσεις μιας ελληνικής εταιρίας παροχής υπηρεσιών κυβερνοασφάλειας. Το εργαστηριακό δίκτυο περιλαμβάνει τρείς εικονικούς υπολογιστές honeypot, που προσομοιοώνουν πέντε ψηφιακές υπηρεσίες υψηλής επικυνδινότητας: απομακρυσμένη πρόσβαση μέσω SSH και telnet, πρωτόκολλα ψηφιακής τηλεφωνίας SIP/PJSIP, καθώς και μια ιστοσελίδα βασισμένη σε Wordpress. Τα honeypot αυτά προωθούν αρχεία καταγραφής σε έναν εικονικό εξυπηρετητή που περιλαμβάνει ένα σύστημα SIEM (Security Information and Event Management), το οποίο αποκωδικοποιεί τα αρχεία και συλλέγει πληροφορίες για τις απειλές. Αναλύονται επίσης οι διαδικασίες εγκατάστασης όπως και οι διαδικασίες διασφάλισης και απομώνωσης του δικτύου των honeypots. Τα ευρήματα περιλαμβάνουν τον εντοπισμό δεκάδων χιλιάδων επιθέσεων των οποίων καταγράφονται τα στοιχεία επίθεσης. Στη συνέχεια επιλέγονται επιθέσεις υψηλής συχνότητας και αναλύονται σε σχέση με τις μεθόδους επίθεσης καθώς και τα κίνητρα τους. Τέλος, εκτιμάται η αξία των honeypots στην τοπική ασφάλεια και την έρευνα απειλών σε σύνδεση με την αποκτηθείσα εμπειρία απο το συγκεκριμένο εργαστηριακό δίκτυο. Αναφέρονται επίσης μελλοντικές επεκτάσεις και βελτιστοποιήσεις του.
|
---|