허니팟을 구성하기 위해서는 필요한 조건이 있는데요,
그 조건은 아래와 같습니다.
~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.
1. 허니팟의 조건
1) 쉽게 해커에 노출되어야 한다.
2) 쉽게 해킹이 가능할 것 처럼 구성해야 한다.
3) 시스템을 구성하는 요소를 모두 갖추어야 한다.
4) 시스템을 통과하는 모든 로그&패킷에 대한 분석이 가능해야 한다.
5) 시스템 이벤트 발생시 관리자 및 모니터링 요원에게 즉각 연락이 취해져야 한다.
~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.
2. 허니팟의 위치
1) 방화벽 앞(front)
- 장점 : 내부 네트워크 보호에 우수함.
- 단점 : 쓸데없는 데이터가 많이 쌓임.(효율성 저하)
2) 방화벽 뒤(back)
- 장점 : 효율성이 높아짐.- 단점 : 내부 네트워크의 위험도 증가.
honey pot에서 많은 서비스를 제공하는 것처럼 설정되기 때문에, 패킷의 흐름 및 네트워크에 장애가 발생할 수 있음.
즉, 내부 보안 수준의 감쇠 효과.
3) DMZ
- 일반적인 DMZ의 장단점과 유사하나, 설치시 시간이 많이 걸리고 관리자의 피로도 급증.
- 무엇보다 내부 Server/Network와의 연결을 철저히 막아야 함.
~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.
3. 허니팟의 구성
허니팟의 구성시 반드시 필요한 요소는 다음과 같습니다.
1) IDS(침입탐지시스템)
- IDS의 경우는 대부분 방화벽 다음에 위치하며 내부 네트워크 보호를 위해 작동됩니다.
2) Log Server(로그 서버)
- 방화벽 > IDS > 허브(network장비) 하단에 위치하며 로그를 기록합니다.
- Log Server의 경우 Unix / Linux를 많이 사용함.(관리자의 요구에 따라 정밀한 로그를 남기기 쉽기 때문.
3) Honey Pot(Server/PC 등)
- Log Server와 같은 위치에 놓이며(허브 다음) 외부 침입/해킹에 샌드백 역할을 합니다.
~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.
4. 허니팟의 핵심 요소
1) Logging
- Data Capture
- Data Collection
- Data Control
2) '장치'와 '레벨'
- Facility : 특정 분야의 로그와 관련.
- Level : 장치의 상태를 나타냄.
- etc/syslog.conf 에서 수정 가능함.
~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.
5. 구현 방법
- 장점 : 설치가 용이하며, 비용 절감 효과
- 단점 : 먹통이 되면 허니넷 전체가 정지. (-_-;)
★ win svr 2008이 출시되면서 VMware보다 효과적인 방법 구현이 가능할 것 같습니다.
실제 WMware보다 2008의 가상화가 더 효율적이라고(~카더라) 하더군요. 전 안써봐서 모르겠네요.
~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.~.
이런 허니팟이 모여 허니넷(honey net)을 이루게 됩니다.
주 목적은 내부 중요 시스템의 보호, 해킹 기법 연구, 공격의 회비, 정보보호에 대한 경각심 등이 있겠구요,
기본적으로 네트워크의 규모가 좀 커야합니다.(대학교 정도 client가 있거나, 상위급 이상의 보안을 요구하는 서버들이 많거나 하면 됩니다.)
[출처]《해커스컬리지/해커스칼리지/해커대학》커뮤니티。
댓글