Sviluppo infrastruttura per monitoraggio del traffico malevolo con l'utilizzo di Honeypot = Infrastructure development for monitoring of malicious traffic using Honeypot

Questa tesi si propone di creare una infrastruttura di rete tale da poter ospitare una serie di Honeypot che hanno lo scopo di reperire informazioni sugli attacchi eseguiti sulla rete del Politecnico di Torino: cio si basa fondamentalmente sull'analisi del problema di sicurezza che si desidera aff􏰃rontare e delle soluzioni attualmente utilizzate e supportate, per descrivere, in􏰄ne, il processo di ingegnerizzazione e setup della rete, 􏰄no al deploy della stessa. L'idea e quella di utilizzare un numero relativamente ridotto di macchine fi􏰄siche grazie al paradigma della virtualizzazione, che permettera il deploy di Honeypot sottoforma di virtual machines. Il sistema virtualizzato in questione costituira, come gia accennato, una rete stub completamente scollegata da quella di produzione, pertanto costituira solo un'appendice dell'intera maglia che dovra gestire solamente il tra􏰀co forwardato dal 􏰄firewall/router posto a monte tramite un apposita serie di entry statiche nella IP-Table. Il suddetto tra􏰀co sara destinato di conseguenza agli Honeypot che, per de􏰄finizione, non generano tra􏰀co poiche sono entita passive ed i soli pacchetti in transito deriveranno da possibili attacchi provenienti dall'esterno, quali per esempio port-scan o accessi remoti e relative risposte auto-generate. Per l'analisi prestazionale del sistema si e deciso di utilizzare Iperf e Ping per valutare il throughput e la latenza della rete cloud, indicando le prestazioni quando l'intero cloud e soggetto a condizioni di carico variabili: per adempiere a tale scopo, sono stati creati dei programmi in linguaggio C con l'idea di poter essere eseguiti sulle singole macchine, virtuali e non, per generare traffico􏰀 o creare carico sulla CPU. La scelta di tale linguaggio di programmazione e mirata alla riduzione dell'impatto del programma stesso sulla CPU, poiche e ragionevolmente snello e performante, in favore dei 􏰁job􏰂 che sono da eseguire. Sono stati create due tipologie di programma, la prima che funge da loader usufruendo dell'utility "stress-ng" e l'altra che funge, invece, da packet generator con l'impiego di "ping" ed "iperf". In conclusione si e cercato di creare un'infrastruttura di rete performante, flessibile e soprattuto tale da nascondere la natura virtuale di tutto l'ambiente, attirando traffico malevolo per essere in un futuro analizzato nel dettaglio.