Continuous Authentication on an SSH Connection

Abstract

I nyere tid har mye arbeid beveget seg i retning av jobbing fra forskjellige lokasjoner. Dette har blitt veldig forsterket av hjemmekontor under COVID19 pandemien. I denne sammenheng er det viktig å utvikle hvordan brukere identifiseres mot IT systemer. Den vanligste tilnærmingen for å identifisere en bruker ved passord og brukernavn er åpen for utnytting enten ved at brukerinformasjon blir stjålet eller ved at sesjonen blir kapret. En ondsinnet aktør vil i dette tilfelle bli behandlet som en genuin bruker av systemet. Kontinuerlig autentisering kan i disse tilfellene bli brukt til å fange opp at brukeren av systemet ikke samsvarer med eieren av kontoen og stenge brukeren ute av systemet. Målet med dette masterprosjektet har vært å se på kontinuerlig autentisering av data fanget opp på serversiden av en SSH forbindelse. eBPF har blitt brukt til å hente ut den dekrypterte SSH trafikken fra en server. Forskjellig nettverksstress har blitt introdusert for å teste innvirkningen av støy har på den kontinuerlige autentiseringen. En stabilitet i resultatet av den kontinuerlige autentiseringen er blitt observert mellom server og klient når nettverket ikke introduserer mye støy. Ved en høyere mengde støy introdusert over nettverket har vi observert en tydelig forverring av funksjonaliteten til den kontinuerlige autentiseringen. Med disse observasjoenen er det konkludert med at kontinuerlig autentisering kan fungere på data fanget opp over en SSH session, ved mye netverks støy vil nøyaktigheten av autentiseringen svekkes.

With a shift to more remote-based work, that is only accelerated by the COVID19 pandemic, new ways of ensuring the identity of users of IT systems are important. The classical approach of username and password for authentication is vulnerable to stolen credentials. By stealing credentials of a user, an adversary can act on the system as the rightful owner of the credentials. Continuous authentication can be implemented to increase the chance of discovering an intruder, and secures the system by revoking access to the account suspected of not being controlled by the owner. The goal of this thesis has been to investigate whether analysis of keystroke dynamics on keystroke data captured at the server side of an SSH session can be used to identify the rightful owner of an account. A publicly available data set has been used as the source of data for our testing, and eBPF has been used to extract the decrypted SSH traffic on the server. The functionality of a commonly used distance measure has been compared on both sides of an SSH session. Different network stress has been applied to investigate the impact of network-introduced interference. A stability of the functionality of keystroke dynamics has been observed at the server side in normal network behavior, whereas a network under stress shows signs of heavily impacting the functionality of keystroke dynamics on the captured data of the SSH channel. With these observations we can state that it is possible to conduct continuous authentication on data capered on the server side of an SSH channel, but in unstable network condition the process will experience degradation.