Mapping and identifying misplaced devices on a network by use of metadata
2017 (English)Independent thesis Advanced level (professional degree), 20 credits / 30 HE credits
Student thesis
Abstract [en]
Context. Network placement of devices is an issue of operational security for most companies today. Since a misplaced device can compromise an entire network and in extension, a company, it is essential to keep track of what is placed where. Knowledge is the key to success, and knowing your network is required to make it secure. Large networks however may be hard to keep track of, since employees can connect or unplug devices and make it hard for the administrators to keep updated on the network at all times.
Objectives. This analysis focuses on the creation of an analysis method for network mapping based on metadata. This analysis method is to be implemented in a tool that automatically maps a network based on specific metadata attributes. The motivation and goal for this study is to create a method that will improve network mapping with regard to identifying misplaced devices, and to achieve a better understanding of the impact misplaced systems can have on a network.
Method. The method for analyzing the metadata was manually checking the network metadata that was gathered by Outpost24 AB’s proprietary vulnerability scanner. By analyzing this metadata, certain attributes were singled out as necessary for the identification. These attributes were then implemented in a probability function that based on the information determines the device type. The results from the probability function are then presented visually as a network graph. A warning algorithm was then run against these results and prompted warnings when finding misplaced devices on subnets.
Results. The proposed method is deemed to be 30 878 times faster than the previous method, i.e. the manual control of metadata. It is however not as accurate with an identification rate of between 80% and 93% of devices and correct device type identification of 95-98% of the identified devices. This is as opposed to the previous method, i.e. the manual control of metadata, with 80-93%% identification rate and 100% correct device type identification. The proposed method also flagged 48.9% of the subnets as misconfigured.
Conclusion. In conclusion, the proposed method proves that it is indeed possible to identify misplaced devices on networks based on metadata analysis. The proposed method is also considerably faster than the previous method, but does need some further work to be as efficient as the previous method and reach a 100% device type identification rate.
Abstract [sv]
Kontext. Placeringen av enheter i nätverk har idag blivit en säkerhetsfråga för de flesta företagen. Eftersom en felplacerad enhet kan äventyra ett helt nätverk, och i förlängning, ett företag så är det essentiellt att ha koll på vad som är placerat vart. Kunskap är nyckeln till framgång, och att ha kunskap om sin nätverksstruktur är avgörande för att göra nätverket säkert. Stora nätverk kan dock vara svåra att ha koll på om anställda kan lägga till eller ta bort enheter, och på så sätt göra det svårt för administratören att ständigt hålla sig uppdaterad om vad som finns vart.
Mål. Den här studien fokuserar på skapandet av en analysmetod för att kartlägga ett nätverk baserat på metadata från nätverket. Analysmetoden ska sedan implementeras i ett verktyg som sedan automatiskt kartlägger nätverket utifrån den metadata som valts ut i analysmetoden. Motivationen och målet med den här studien är att skapa en metod som förbättrar nätverkskartläggning med syftet att identifiera felplacerade enheter, och att uppnå en större förståelse för den inverkan felplacerade enheter kan få för ett nätverk.
Metod. Metoden för att analysera metadatan var att genom att för hand leta igenom den metadata som Outpost24 ABs sårbarhetsskanner samlade in när den letade efter sårbarheter i ett nätverk. Genom att analysera metadatan så kunde vi singla ut enskilda bitar som vi ansåg vara nödvändiga för att identifiera enhetens typ. Dessa attribut implementerades sedan i en sannolikhetsfunktion som avgjorde vilken typ en enhet hade, baserat på informationen i metadatan. Resultatet från denna sannolikhetsfunktion presenterades sedan visuellt som en graf. En algoritm som matade ut varningar om den hittade felkonfigurerade subnät kördes sedan mot resultaten från sannolikhetsfunktionen.
Resultat. Den i den här rapporten föreslagna metoden är fastställt till att vara cirka 30 878 gånger snabbare än föregående metoder, i.e. att leta igenom metadatan för hand. Dock så är den föreslagna metoden inte lika exakt då den har en identifikationsgrad på 80-93% av enheterna på nätverket, och en korrekt identifikationsgrad på enhetstypen på 95-98% av de identifierade enheterna. Detta till skillnad från den föregående metoden som hade 80-93% respektive 100% identifikationsgrad. Den föreslagna metoden identifierade också 48.9% av alla subnät som felkonfigurerade.
Sammanfattning. För att sammanfatta så bevisar den föreslagna metoden att det är möjligt att identifiera felplacerade enheter på ett nätverk utifrån en analys av nätverkets metadata. Den föreslagna metoden är dessutom avsevärt snabbare än föregående metoder, men behöver utvecklas mer för att nå samma identifikationsgrad som föregående metoder. Det här arbetet kan ses som ett proof-of-concept gällande identifikation av enheter baserat på metadata, och behöver därför utvecklas för att nå sin fulla potential.
Place, publisher, year, edition, pages
2017. , p. 39
Keywords [en]
metadata analysis, network mapping, visualization, device placement
National Category
Engineering and Technology
Identifiers
URN: urn:nbn:se:bth-14687OAI: oai:DiVA.org:bth-14687DiVA, id: diva2:1114265
External cooperation
Outpost24 AB
Subject / course
Degree Project in Master of Science in Engineering 30.0
Educational program
DVACD Master of Science in Computer Security
Supervisors
Examiners
2017-06-262017-06-222022-05-12Bibliographically approved