dc.contributor.advisor | Petrovic, Slobodan | |
dc.contributor.author | Aasen, Øyvind | |
dc.date.accessioned | 2019-09-19T14:00:57Z | |
dc.date.available | 2019-09-19T14:00:57Z | |
dc.date.issued | 2019 | |
dc.identifier.uri | http://hdl.handle.net/11250/2617747 | |
dc.description.abstract | De fleste nettverk er sårbare for angrep på flere
forskjellige enheter. Etter at en angriper har klart å få tilgang til en enhet
på nettverket kan han bruke den til å angripe andre enheter koblet til det samme
nettverket. WannaCry og NotPetya er kjente angrep som har ført til mye skade.
Segmentering av nettverk er en ofte brukt teknikk for å minimere antallet
enheter som er tilgjengelige og sårbare for slike angrep.
I denne masteroppgaven introduserer vi en original bruk av datadioder kalt
bidireksjonell datadiode. En bidireksjonell datadiode erstatter en tradisjonell
bidireksjonell Ethernetkobling med to datadioder. Datadiodene er satt opp
i hver sin retning, dette fører til bidireksjonell trafikk over den
bidireksjonelle datadioden mens den samtidig garanterer at trafikken kun
kan gå i en retning over hver datadiode.
En datadiode er en nettverkskobling som har blitt modifisert til å kun sende
data i en retning og dermed lage en unidireksjonell kobling.
Påvirkningen en bidireksjonell data diode kan ha på hvor bra en IDS detekterer
angrep har også blitt analysert.
I tillegg til å undersøke hvordan nettverkssegmentering kan bli gjort med
bidireksjonelle data dioder har vi sammenlignet det med tradisjonelle
beskyttelsesmekanismer som brannmurer og Access-Control Lister. Resultatene
viser at både bidireksjonelle datadioder og tradisjonelle
beskyttelsesmekanismer gir oss tilsvarende resultater i henhold til
nettverkssegmentering. | |
dc.description.abstract | Most networks are vulnerable to many kinds of attacks on different devices. When an attacker gains
access to one of the devices in a network he can then use it to attack other devices in the network.
WannaCry and NotPetya are well known attacks that caused much damage.
Compartmentalisation of the network is often used to minimise the number of reachable devices that are
vulnerable against such attacks.
In this thesis a novel use of data diodes called a bi-directional
data diode is introduced. A bi-directional data diode replaces one traditional bi-directional Ethernet link
with two data diodes. The data diodes are connected in opposite directions.
This configuration provides bi-directional traffic across the bi-directional data diode while
guaranteeing uni-directional traffic across each data diode.
A data diode is a network link that has been modified to send traffic only in one direction, thereby
creating a uni-directional link.
The impact bi-directional data diodes might have on an IDS detection performance has been analysed.
In addition to looking into how network segmentation and compartmentalisation can be done with bi-directional data diodes
we have compared it with traditional security mechanisms such as firewalls and ACL. It is shown that we can achieve
similar results with regard to segmenting the network with both bi-directional data-diodes and traditional security mechanisms. | |
dc.language | eng | |
dc.publisher | NTNU | |
dc.title | Using Bi-directional Data Diodes to Limit Propagation of Network Attacks | |
dc.type | Master thesis | |