[Back]

C. Schanes:
"Einsatz von Honeyclient-Technologien zur Steigerung der Sicherheit im universitären Umfeld";
Supervisor: T. Grechenig, F. Fankhauser; 183/1, 2008.

Attacks on IT systems are widespread these days and pose an enormous danger to computer networks. For a long time, mainly servers were attacked, but these attacks are relatively well investigated. In the area of research honeypots and honeynets have been established in order to investigate this kind of attacks.
Recently a new and generally unknown type of attacks, which pose a serious threat to IT systems are monitored more frequently in networks.
These are so-called client-side attacks, which use faults in the client-software as initial point. Thereby the client computers are attacked by resources, which are hidden in the site that is accessed by the user. This is extremely malicious, as the user does not take any notice of this attack. Therefore a tool for the detection of client-side attacks is of extreme importance for the security of computer systems.
Tools that are well established for other kind of attacks can not be used for that purpose. A possible resolution is provided by the newly developed method of honeyclients, which were tailored for the detection of client-side attacks. Therefore, honeyclients are an important factor in order to increase security for the users of IT systems.
Honeyclients are an exciting new field of research with several different ways of implementation. However, a comparison of the efficiency and suitability of the different systems for specific tasks is still hardly available. This thesis contributes to a clearly arranged comparison of the different implementations of honeyclients. First, an introduction into the idea of honeyclients is given.
Subsequently, it presents several implementations of honeyclients and evaluates them in view of their suitability for a university network.
Finally, the gained data is analyzed in order to find out whether the theoretical differences that are reported for honeyclients in literature are also existing in practical use.

Angriffe auf IT-Systeme sind heute weit verbreitet und stellen eine große Gefahr für Computernetzwerke dar. Bisher wurden dabei vor allem Server angegriffen, welche allerdings bereits relativ gut erforscht sind, wobei sich im Forschungsbereich Honeypots und Honeynets als Analysetool etabliert haben. In letzter Zeit tritt in Netzwerken jedoch immer häufiger eine neue und weitgehend unerforschte Angriffstechnik auf, die eine ernstzunehmende Gefahr für IT-Systeme darstellen. Dabei handelt es sich um client-seitige Angriffe, bei denen Fehler in der Clientsoftware für Attacken genutzt werden. Die Clientrechner können dabei vom User völlig unbemerkt angegriffen werden. Ein Detektionstool für client-seitige Angriffe ist daher von großer Bedeutung für die Sicherheit von Computersystemen, da bisherige Techniken dafür nicht genutzt werden können.
Einen Lösungsansatz bietet jedoch die neu entwickelte Methodik der Honeyclients, welche für die Detektion solcher Angriffe entwickelt wurden. Dadurch stellen sie einen sehr wichtigen Faktor in der Erhöhung der Sicherheit für IT-Systeme dar.
Honeyclients sind ein spannendes, neues Forschungsgebiet mit vielen unterschiedlichen Umsetzungsvarianten. Ein Vergleich der Leistungsfähigkeit und der Eignung für spezifische Problemstellungen der einzelnen Systeme liegt jedoch bisher kaum vor. Die vorliegende Arbeit leistet einen Beitrag zu einem übersichtlichen Vergleich zwischen verschiedenen Honeyclients. Es wird zunächst eine Einführung in das Konzept der Honeyclients gegeben. Anschließend werden unterschiedliche Implementierungen von Honeyclients vorgestellt und in Hinblick auf eine Anwendung in einem universitären Netzwerk evaluiert. Abschließend werden die Daten daraufhin analysiert, ob die theoretischen Unterschiede zwischen verschiedenen Honeyclients, die aus der Literatur bekannt sind, auch in der Praxis bestehen.