2009. 1. 8. 13:25

침입탐지 공격패턴 분석 특효약 허니팟(Honey Pot) / 허니넷(Honey Net)

허니팟은 해커나 스팸, 바이러스 등의 외부 침입에 대응하는 시스템인 동시에 역추적을 할 수 있는... 일명 낚시 죠.

허니팟을 구성하기 위해서는 필요한 조건이 있는데요,

그 조건은 아래와 같습니다.

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

1. 허니팟의 조건

 1) 쉽게 해커에 노출되어야 한다.

 2) 쉽게 해킹이 가능할 것 처럼 구성해야 한다.

 3) 시스템을 구성하는 요소를 모두 갖추어야 한다.

 4) 시스템을 통과하는 모든 로그&패킷에 대한 분석이 가능해야 한다.

 5) 시스템 이벤트 발생시 관리자 및 모니터링 요원에게 즉각 연락이 취해져야 한다.

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

2. 허니팟의 위치

 1) 방화벽 앞(front)

     - 장점 : 내부 네트워크 보호에 우수함.

     - 단점 : 쓸데없는 데이터가 많이 쌓임.(효율성 저하)

 2) 방화벽 뒤(back)

     - 장점 : 효율성이 높아짐.

     - 단점 : 내부 네트워크의 위험도 증가.

                  honey pot에서 많은 서비스를 제공하는 것처럼 설정되기 때문에, 패킷의 흐름 및 네트워크에 장애가 발생할 수 있음.

                  즉, 내부 보안 수준의 감쇠 효과.

 3) DMZ

      - 일반적인 DMZ의 장단점과 유사하나, 설치시 시간이 많이 걸리고 관리자의 피로도 급증.

      - 무엇보다 내부 Server/Network와의 연결을 철저히 막아야 함.

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

3. 허니팟의 구성

 허니팟의 구성시 반드시 필요한 요소는 다음과 같습니다.

 1) IDS(침입탐지시스템)

       - IDS의 경우는 대부분 방화벽 다음에 위치하며 내부 네트워크 보호를 위해 작동됩니다.

 2) Log Server(로그 서버)

       - 방화벽 > IDS > 허브(network장비) 하단에 위치하며 로그를 기록합니다.

       - Log Server의 경우 Unix / Linux를 많이 사용함.(관리자의 요구에 따라 정밀한 로그를 남기기 쉽기 때문.

 3) Honey Pot(Server/PC 등)

       - Log Server와 같은 위치에 놓이며(허브 다음) 외부 침입/해킹에 샌드백 역할을 합니다.

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

4. 허니팟의 핵심 요소

 1) Logging

       - Data Capture

       - Data Collection

       - Data Control

 2) '장치'와 '레벨'

       - Facility : 특정 분야의 로그와 관련.

       - Level : 장치의 상태를 나타냄.

       - etc/syslog.conf 에서 수정 가능함.

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

5. 구현 방법

       - 장점 : 설치가 용이하며, 비용 절감 효과

       - 단점 : 먹통이 되면 허니넷 전체가 정지. (-_-;)

★ win svr 2008이 출시되면서 VMware보다 효과적인 방법 구현이 가능할 것 같습니다.

     실제 WMware보다 2008의 가상화가 더 효율적이라고(~카더라) 하더군요. 전 안써봐서 모르겠네요.

~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.

이런 허니팟이 모여 허니넷(honey net)을 이루게 됩니다.

주 목적은 내부 중요 시스템의 보호, 해킹 기법 연구, 공격의 회비, 정보보호에 대한 경각심 등이 있겠구요,

기본적으로 네트워크의 규모가 좀 커야합니다.(대학교 정도 client가 있거나, 상위급 이상의 보안을 요구하는 서버들이 많거나 하면 됩니다.)


[출처]
《해커스컬리지/해커스칼리지/해커대학》커뮤니티。


Trackback 0 Comment 0