HoneyRAN : A Medium-Interaction Honeypot for Radio Access Networks Mimicking a Command-Line Interface in a Baseband Unit / HoneyRAN : En medelinteraktion honungskruka för radioaccessnät som imiterar en kommandoradsgränssnitt i en basbandsenhet

Cho, Daniel

January 2021

There is a lack of understanding of the threat vectors and attacks in Radio Access Network (RAN) systems. In addition, there is a lack of knowledge in adversary behaviour and tactics in RAN. To gain an increased understanding of the threat landscape in RANs and potentially increase the overall security for RANs, this thesis project designed, implemented, and evaluated a honeypot for Ericsson’s RAN. Developing a suitable honeypot required an initial literature study of honeypots, RANs, and Long-Term Evolution (LTE) networks. In addition, previous research and work related to this topic were included in the literature study. The open-source Secure Shell Protocol (SSH) honeypot project, Cowrie, was used as a fundamental building block for the honeypot. Moreover, a high-level architecture of the honeypot system (HoneyRAN) was designed and used as a basis for the implementation process. For evaluating the honeypot, a penetration test was conducted in which an internal Ericsson penetration tester evaluated the honeypot. The Elasticsearch, Logstash, and Kibana (ELK) stack was utilised to facilitate log analysis. The results from the penetration test were better than expected and are promising as HoneyRAN achieved the three claimed goals/objectives: understanding adversarial behaviour and tactics, stalling the adversaries, and early detection of attacks. The outcome of the evaluation suggests that HoneyRAN is a good initial approach for increasing the overall security of RANs and that honeypots are an effective deception technique for stalling attackers. The conclusions from the evaluation of HoneyRAN are that HoneyRAN’s implementation using Cowrie achieved an essential desired outcome, namely realism, deception strategies are essential to implement deception techniques (such as honeypots) effectively, and the design and implementation choices of HoneyRAN provides a foundation for other solutions. / Det finns begränsad förståelse för hotvektorer och attacker i RAN system. Dessutom finns det även begränsad kunskap om fientlig beteende och taktiker som används i RAN. För att få en ökad förståelse för de hotbilderna som finns i RAN så designade, implementerade och utvärderade detta avhandlingsprojekt en så kallad honungskruka för Ericssons RAN. Att utveckla en lämplig honungskruka krävde en inledande litteraturstudie på honungskrukor, RAN, och LTE nätverk. I litteraturstudien krävdes det även att man utförde en forskning om tidigare forskning och arbeten relaterat till detta ämne. En översikt på de komponenter som behövdes för att implementera honungskrukan (HoneyRAN) skapades och användes som grund för implementeringsprocessen. För att utvärdera systemet genomfördes ett penetrationstest som utfördes av en intern penetrationstestare på Ericsson. ELK stack användes för att underlätta logganalys. Resultaten från penetrationstestet var bättre än förväntat och är lovande eftersom honungskrukan uppnådde de tre påstådda målen: att få en förståelse av fientlig beteende och taktik, att uppehålla motståndarna, och att upptäcka tidiga faser av attacker. Dessutom tyder resultatet på att HoneyRAN är ett bra första steg till att öka den övergripande säkerheten i RAN och att honungskrukor är en effektiv vilseledningsteknik för att uppehålla attackerare. Slutsatserna från utvärderingen av HoneyRAN är att användingen av Cowrie uppnådde en väsentlig faktor, nämligen att HoneyRAN ser realistisk ut, vilseledningsstrategier är viktiga för att kunna effektivt implementera en honungskruka, och designvalen som togs för implementeringen av Honey- RAN kan utgöra en grund för framtida lösningar att bygga vidare på.

Honeypot

HoneyRAN

Medium Interaction Honeypot

Cowrie

SSH Honeypot

RAN Honeypot

RAN security

Honungskruka

HoneyRAN

Medelinteraktion honungskruka

Cowrie

SSH honungskruka

RAN honungskruka

RAN säkerhet

Computer Sciences

Datavetenskap (datalogi)