Transcript 허니팟
Honey Pot 목 차 1. 2. 3. 4. 5. 6. 7. 8. 9. Honey pot 이란? Honey pot 의 목적 Honey pot 의 요건 Honey pot 의 구조 VMware 로 Honey pot 설치 로그 서버 만들기 로그 서버 설치 공개 허니팟 툴 자료 출처 Honey pot 2 허니팟 이란? 컴퓨터 프로그램에 침입한 스팸과 컴퓨터바 이러스, 크래커를 탐지하는 가상컴퓨터이다. 침입자를 속이는 최신 침입탐지기법으로 마 치 실제로 공격을 당하는 것처럼 보이게 하 여 크래커를 추적하고 정보를 수집하는 역할 을 한다. 크래커를 유인하는 함정을 꿀단지 에 비유하여 Honey pot이란 명칭이 붙여지 게 되었다. Honey pot 3 1990년대 중반 미국 매사추세츠 공과대학 교수 데 이비드 클록(David Clock)이 처음 제안한 뒤, 1999년 선 마이크로시스템즈의 컴퓨터 보안전문가인 랜스 스 피츠너(Lance Spitzner)와 2002년 소프트웨어 제조회사 사인SAIC:(Science Applications International Corporation)이 실 제 프로젝트를 시행하였다. 침입자를 오래 머물게 하여 추적이 가능하게 하므로 능동적으로 방어할 수 있고, 침입자의 공격을 차단할 수 있다는 장점으로 인해 많이 활용되고 있다. Honey pot 4 허니팟의 발전된 유형으로 Honey net이 있 으며 보통 허니팟 이란 해커의 정보를 얻기 위한 하나의 개별 시스템을 뜻하고, 허니넷 은 허니팟을 포함한 하나의 네트워크를 의미 한다. 2001년7월 외신을 통해 파키스탄인으로 추 정되는 크래커들이 미국의 한 시스템에 침입, 완전 장악한 사례가 보도되었다. 하지만 이 들이 장악한 시스템은 "허니팟(HoneyPot)" 으로 알려진 유인시스템이었다. Honey pot 5 허니팟의 목적 경각심(Awareness),정보(Information),연구(Research) 해커를 유인해서 정보를 얻거나 잡기 위함 -정보의 수집과 시스템 제어의 기능을 충실히 수행할 수 있어야함 공격의 회피 -중요한 시스템을 보호하기 위한 위장서버의 역할 Honey pot 6 허니팟의 요건 쉽게 해커에게 노출되어야 한다. 쉽게 해킹이 가능한 것처럼 취약해 보여야 한다. 시스템의 모든 구성 요소를 갖추고 있어야 한다. 시스템을 통과하는 모든 패킷을 감시해야 한 다. 시스템에 접속하는 모든 사람에 대해 관리자 에게 알려줘야 한다. Honey pot 7 허니팟의 구조 허니팟의 위치 ① 방화벽 앞 – IDS(침입 탐지 시스템)와 마찬가지로 Honey Pot의 공 격으로 인한 내부 네트워크의 위험도는 증가하지 않는다. 하지만 원하지 않는 수많은 정보와 가치가 없는 정보들을 너무 많이 수집 하게 되면서 효율성이 떨어진다. ② 방화벽 내부 - 효율성은 높으나 내부 네트워크에 대한 위험도가 커진다. 또한 Honey Pot은 대부분 많은 서비스를 제공하는 것처 럼 설정되기 때문에 방화벽의 패킷 필터링 규칙에 많은 영향을 주 게 되며, 이는 결국 내부 네트워크의 보안 수준을 떨어뜨린다. ③ DMZ 내 -설치에 많은 시간이 걸리고, 관리자가 많은 노력을 들 여야 하며 Honey Pot을 DMZ 내에 위치시킬 때 중요한 것은 다 른 서버와의 연결을 확실하게 막아야 한다는 것이다. Honey pot 8 일반적인 허니팟 Honey pot 9 VMware를 이용한 허니팟 하나의 시스템으로 방화벽과 IDS, Honey Pot, Log Server를 같이 운영한다. Honey pot 10 GEN-Ⅰ 허니넷 방화벽 안에 윈도우와 리눅스 Honey Pot을 설정하고, 스위칭 환경에서 로그 서버를 운영. GEN-Ⅰ은 분당 5개 정도의 연결만을 허락 자동화된 툴의 공격과 웜 공격에 대한 정보 수집에 좋은 성능을 보인다. Honey Pot을 이용해 Honey Pot에서 시작될 수 있는 DoS나 무차별적 스캐닝 공격을 막을 수 있다. Honey pot 11 Honey pot 12 GEN – II 허니넷 GEN-Ⅱ에는 Hogwash라는 2계층의 IDS 게 이트웨이가 추가되었다. IDS 게이트웨이는 Snort에 의해서 공격으로 탐지되는 패킷을 2계층에서 차단할 수 있다. 라우팅 정보의 변경을 통한 접근 제어를 하지 않으며, 방화벽의 필터링 기능과 IDS의 침입 탐지 기능을 결합한 것이다 Honey pot 13 Honey pot 14 VMware를 이용한 허니팟 설치 VMware를 이용하여 하나의 시스템으로 방 화벽과 IDS, 허니팟, Log Server를 같이 운 영하는 것이 가능하다. 장점 저렴한 비용으로 쉽게 허니넷을 구성할 수 있다 단점 하나의 시스템에 설치되므로 시스템이 고장났을 경우, 허니넷 전체가 작동하지 않는다. Honey pot 15 Virtual Machine 만들기 "New Virtual Machine" 을 선택 Honey pot 16 해당 운영체제를 선택 Honey pot 17 이미지 이름과 이미지가 설치될 폴더를 설정한다. Honey pot 18 "Use host-only networking" 을 선택 실제운영체제와 가상의 운영체제간 가상의 사설 네트워크 로 연결됨 Honey pot 19 Virtual Machine 생성 완료 Honey pot 20 녹색의 재생버튼을 눌러 부팅 이후 리눅스 설치 법대로 리눅스 설치 Honey pot 21 로그 서버 만들기 허니팟에서 가장 중요한 ‘Data Capture, Data Collection, Data Control’ 세가지 요소를 만족시 키는 가장 중요한 것이 로깅이다. 보통 로그서버는 유닉스나 리눅스를 사용한다 이 유는 관리자의 요구에 맞는 상세한 로그를 남길 수 있기 때문이다. 로그는 ‘장치(facility)’ 와 ‘레벨(level)’로 구별하 여 설정한다. Honey pot 22 장치와 레벨 장치(facility)-로그를 남기는 하나의 프로그 램을 의미 각각의 장치 가 특정 분야의 로그를 맡는다. 레벨(level)-장치의상태 를 레벨로 나타낸 것이 며 장치는 레벨 중 하나 를 갖는다 장치와 레벨의 설정은 기본적으로 /etc/syslog.conf 에서 한다. Honey pot 23 로그 장치(facility) 목록 장치 내용 auth Login과 su와 같이 사용자 권한을 사용하거나 변경한다. authpriv 선택된 사용자만 읽을 수 있는 파일에 로그를 남기는 것을 제외하고는 auth와 똑같다. console Console에 일반적으로 나타나는 메시지다. cron 시스템 스케줄러에서 보내는 메시지다. daemon 별도의 다른 핸들러를 가지지 않는 모든 시스템 데몬의 로그다. ftp FTP 데몬의 전송을 로그로 남길 수 있도록 설정 가능하다. kern 커널 메시지다. lpr 프린팅 시스템에서 오는 메시지다. mail 메일 시스템에서 오는 메시지다. mark 20분마다 로그에 단순히 통보하는 메시지로 실제 로그가 아니다. Honey pot 24 로그 장치(facility) 목록 news 인터넷 뉴스 데몬에서 보내는 메시지다. ntp Network time protocol이 보내는 메시지다. secruty 각종 보안 시스템들이 보내는 메시지다. syslog 로그 서비스 자체적으로 로그를 남길 수 있다. 로그 시스템에서 보내는 로그는 혼란을 피하기 위해 남기지 않도록 한다. user 사용자 프로그램에 대한 로깅이다. uucp Unix-to-Unix copy protocol이 보내는 로그다. local0~7 local0에서 local7 관리자가 사용할 수 있도록 예약된 것이다. Honey pot 25 로그 레벨(level) 목록 레벨 내용 emerg 시스템이 비정상적인 상태다. 모든 터미널에 메시지가 깜박인다. 기본적으로 시스템이 멈췄거나 매우 불안정한 상태다. alert Emerg 레벨보다는 안정된 상태나 매우 좋지 않은 상태다. 시스템을 계속 가동 시킬 수는 있으나, 즉각적인 조치가 있어야한다. crit 하드웨어 문자나 심각한 소프트웨어 문제 같은 치명적인 오류다. 하드 드라이 브에 베드 블록이 생겼을 경우 이러한 오류가 발생한다. 마찬가지로 조치가 필 요하다. err 여러 가지 오류가 발생한다. 고쳐야 하지만 시스템을 망가트리진 않을 정도다. warning 여러 가지 경고가 발생한다. notice 남겨져야 하는 일반적인 정보들이다. 이 정보가 필요한 경우라도 실제로 어떤 조치를 취해야 하는 것은 아니다. debug 프로그래머들만 사용한다. 종종 어떤 프로그램이 작동하는 원리를 알고자 하는 관리자가 사용하기도 한다. none 어떠한 메시지도 남지 않도록 한다. Honey pot 26 syslog.conf file 1 2 3 Honey pot 27 syslog.conf file 커널에 대한 모든 로그는 /dev/console 창으로 보내 게 되어 있으나, 주석 처리가 되어 있기 때문에 작동하 지 않는다. 주석을 제거하면, 이에 대한 로그를 터미널 에서 확인할 수 있다. Mail, cron 등 여러 가지 로그에 대해 none이 설정되 어있다. 따라서 이에 대한 로그는 남기지 않는다. Cron에 대한 로그는 /var/log/cron에 남긴다. 1. 2. 3. 리눅스의 경우 /var/log 디렉토리에 로그파일들이 존재 Honey pot 28 로그 파일 목록 파일 이름 내용 Wtmpx, utmpx 사용자 계정 정보(확장 정보): login, logout, reboot 등의 누적 정보(솔라리스) Utmp 현재 사용자의 정보를 기록한 바이너리 파일 Wtmp 로그인 또는 재부팅의 내용을 기록하는 바이너리 파일 btmp 5번 이상 로그인 실패에 대한 로그 기록(HP-UX) syslog 운영체제 및 응용 프로그램의 주요 동작 내역 secure 운영체제 및 응용 프로그램의 주요 동작 내역(리눅스) su.log su 명령에 의한 결과 기록 vold.log cd-rom과 같은 외부 매체의 사용에서 방생하는 오류기록(솔라리스) Honey pot 29 로그 파일 목록 xferlog FTP 접근 기록 aculog 다이얼 아웃 모뎀 관련 기록(자동 호출 장치) acct, pacct 각 사용자에 의해 실행된 프로세스 관련 기록 message 각종 시스템 및 재부팅 메시지 등의 정보 기록 loginlog 5번 이상 로그인 시패에 대한 기록(솔라리스) last log 사용자의 마지막 로그인 시간 기록 access_log 접속 요청 및 시도에 대한 로그 error_log 재부팅, shutdown 등에 대한 시동 정지 관련 기록(HP-UX) failed login 5번 이상 로그인 실패에 대한 기록(AIX Unix) http log 웹에 관한 로그를 기록한 파일 history 셀에 의한 히스토리에 저장되는 정보의 로그를 기록한 파일 Honey pot 30 로그 서버 설치하기 1. 2. 기본 설정 파일 위치 변경하기 Make 명령으로 재 컴파일 Syslogd.c 파일의 #define _PATH_LOGCONF “ /etc/honeypot.conf 로 변경 기본으로 설정되어있는 파일을 침입자가 cat 등을 통해 syslog.conf파일을 들여다 보았을 때 syslogd가 다른 설정 파일을 참조하도록 재 컴파일 하여두면 침입자는 syslog.conf파일의 내용으로 log파일이 local에 저장된다고 생각할 것이다. Honey pot 31 1. Honeypot.conf 파일 설정 Mail과 news에 대한 로그에 none를 지워 이에 대한 로그를 남긴다. 모든 로그가 logserver에 전달되도록 설정한다. Honey pot 32 /etc/hosts에 로그 서버의 IP 주소를 할당해준다. Honey pot 33 1. 설정을 마치면 syslog 데몬을 다시 실행한다. Kill -9 2037 명령으로 프로세스를 죽인 후 다시 실행한다. 컴파일한 syslogd 파일을 /sbin/syslogd로 덮어쓴다. Honey pot 34 1. 로그를 받아 들이는 시스템을 설정 프로세스를 찾아 정지시킨 다음, syslog –r 옵션을 주어 실행한다. /etc/services 파일에 syslogd 514/udp가 적혀 있어야 한다. 목록 에 기록되지 않은 서비스는 활성화되지 않기 때문이다. Honey pot 35 공개 허니팟 툴 1. Trapserver1beta -서버로 위장하여 해커를 유인하는 허니팟 2. BackOfficer Friendly -BackOfficer Friendly는 윈도우 에서 돌아가는 가짜 서 버어플리케이션으로서 백오리피스 서버인척하고 공격 자에게 가짜 응답을 보냅니다. 마치 실제로 백오리피스 공격이 성공해서 파일 조작 등이 가능하고 키 로그등이 심어진 것 처럼 행동하며 그때에 IP를 로그하고 모든 행동을 다 로그 합니다 Honey pot 36 Trapserver1beta 트랩서버 메인 화면 Honey pot 37 Trapserver1beta 클라이언트에서 트랩서버로 접속한 화면 Honey pot 38 Trapserver1beta autosavelog.txt 파일에 저장된 로그 Honey pot 39 BackOfficer Friendly BackOfficer Friendly 메인 화면 Honey pot 40 BackOfficer Friendly 다양한 서비스를 제공하듯이 흉내 내는 기능을 포함하고 있습니다. FTP, HTTP, SMTP. 그리고 ISS나 SATAN 스캔이 들어온다면 검출해낼 수 있고. BOF는 마치 백오리피스 서버인 것처럼 침투자의 다양한 반응에 적절하게 반응한다. 침투자의 요청을 무시하는 대신에 마치 진짜 인 것처럼 반응을 보내고 이를 로그 합니다. 설치 방법 :여타 프로그램과 같은 방식으로 인스톨하고 작동시키면 마치 백오리피스에 감염된 컴퓨터인 것처럼 행동한다. 설치 가능 OS : 윈도즈 9x, 윈도즈 NT, 윈도즈 2000 사용법 : bof를 켜두고 있으면 로그가 쌓인다(save를 눌러 따로 저장해야 한다.) SMTP, FTP등은 로그만 남고 bof 에 접근이 있을 때는 어떤 접근이 고 어떤 명령을 수행했는지 다 보여준다. Honey pot 41 자료 출처 [사이트] The Honeynet PROJECT http://www.honeynet.org/ 네이버 리눅스 유저 그룹 http://cafe.naver.com/linuxcare.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=4041 네이버 백과 사전 http://100.naver.com/100.php?id=794488 중앙일보 뉴스위크 http://nwkold.joongang.co.kr/200110/499/nw499027.html MicrosoftTechNet http://www.microsoft.com/korea/technet/columns/outside/0502_09.asp 리눅스 포유 네이버 카페 http://cafe.naver.com/mystylelinux.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=43 (Nfr)(security) http://www.nfr.com 2. [서적] 정보 보안 개론과 실습(네트워크 해킹과 보안) [양대일.이승재 공저] [한빛미디어] 해킹과 보안 [노용환] [영진.com ] 1. Honey pot 42