Honeypot?

HoneyPot

 

1. 허니팟이란

   그 가치가 침해 당하는 것에 있는 보안자원을 말한다.

   다양한 목적을 가지고, 다양한 방식으로 구현된다.

   (리눅스 시스템, 윈도우 시스템, 포트 리스너 등)

   해커를 유인하기 위한 기능 또는 목적이 있지 않으며, 단지 침해 당함으로써 해커의 행동, 공격기법 등

   을 분석하는데 사용

   1990년도에 처음 나타났고, 특정보안보다는 전반적은 Security Architecture의 향상에 기여를 하고

   있다.

 

2. 허니팟의 두가지 형태

   가. Production Honeypot(상용)

      - 조직 또는 특정 환경의 보안을 강화하고, 위험을 감소시키는데 목적이 있다. 기본적인 허니팟개념.

      - 일반적으로 설치 및 적용이 쉬우나, 구입을 해야한다.

   나. Research Honeypot(연구목적)

      - 해커 community에 대한 정보를 얻어서 연구를 하기 위한 목적을 갖고 있다.

      - Honeypot Project가 하나의 예이다.

 

3. 허니팟의 장점 및 단점

   가. 장점

      a. 수집 데이터

         - 높은 효율성

            하루 평균 1MB 정도의 정보를 수집한다.

           (IDS[1]는 분당 1MB정도의 정보를 수집)

           공개서버에 설치하지 않으므로, 일반적인 트래픽이 거의 없슴.

           (따라서, 허니팟을 통해 수집되는 정보는 비인가된 행위에 의한 것이라고 판단할 수 있으며,

           분석할 만한 가치가 있는 데이터이다.

         - False Positives & False Negatives

           허니팟은 침입탐지 시스템에서 발상할 수 있는 False Positive[2]와 False Negative[3]를

           획기적으로 감소시킨다.

           a. 시스템 자원

               방화벽이나 침입탐지 시스템처럼 그 성능이 시스템 resource의 영향을 받지 않는다.

               단지 자신에게 보내진 패킷만 수집하기 때문에 데이터를 처리하기 위해 고성능의 시스템을

               사용할 필요가 없다.(64MB-Ram Pentium또는 Sparc5에서도 활용가능)

           b. 단순함

               설치 적용, 운영 및 관리가 용이하다.

           c. Return on Investment

               공격을 당하는 즉시 그 가치를 발휘하게 되며, 적은 투자로 만족할 만한 결과를 용이하게

               얻을 수 있다.

 

   나. 단점

      a. 탐지영역의 한계

          자신에게 오는 트래픽만 감시할 수 있다.

          (mirroring 포트에 설치되는 IDS와는 달리 일반 포트에 설치되므로 자신에게 오는 패킷만을 수집

          하므로, 네트워크 전반에 대한 침입정보를 분석할 수 없다.)

      b. 노출

          공격자가 허니팟 시스템을 알아차릴 수 있는 가능성이 있다.허니팟 시스템의 접근을 피하거나,

          허니팟을 마비시키기 위한 공격을 가할 수도 있다.

      c. 위험성

          허니팟 시스템이 침해를 당하고, 다른 시스템을 공격하는데 사용된다면 조직의 보안에 위험을 줄

          수 있는 가능성도 있다.

 

4. 허니팟의 가치

   가. Production Honeypot

      - 침입방지(Prevention)

          Honeypot은 공격자를 속이거나, 저지하는데 사용될 수 있다.

          (단, 인터넷 웜과 같은 경우는 자동화된 루틴에 의해 공격 및 전파가 되므로 침입방지 효과가

          거의 없다.)

      - 침입탐지(Detection)

         공격자의 행위에 대한 탐지에 있어서 매우 뛰어나다. 허니팟에서 탐지된 행위는 대부분

         의심스러운 행위로 판단할 수 있으므로, 매우 효율적이다.

      - 침입대응(Response)

         침입자가 어떻게 시스템에 침입했으며, 어떻게 행동을 했는지에 대한 상세한 정보를 제공할 수

         있다.

 

5. 공격자와 허니팟의 상호작용(Interaction)

   공격자가 시스템에 침입해서 자신이 원하는 행동을 어느 정도까지 할 수 있느냐는

   허니팟의 보안, 데이터의 질과 양에 영향을 준다. 허니팟은 저마다 다른 목적을 갖고 있다.

   이러한 목적에 따라 허니팟은 다양한 레벨의 기능을 갖게 되며, 공격자에게 제공하는 기능도

   이에 따라 달라진다. 허니팟이 제공하는 상호 작용레벨에 따라 장단점이 있으므로,

   어떤 형태의 허니팟을 구축할 것인지 결정하는 것 또한 중요하다.

 

   - Low level

      보통 Telnet 또는 FTP와 같은 서비스와 해당 취약점을 emulate 한 것으로, 공격자는 로그인시도 및

      매우 제한적인 상호작용만이 가능하다. 이를 통해 획득할 수 있는 정보는 적다.

   - Medium level

      제한된 서비스 환경을 제공하는 것이며, 제한된 상호작용을 할 수 있도록 한다. 공격자는 원래의

      시스템에 대해 영향을 줄 수 없으나, chroot 환경에 대한 공격이나, 설정의 잘못에 의해

      전체 시스템에 대한 권한을 획득할 수 있는 위험성을 갖고 있다. 실제 사용되는 경우는 드물다.

   - High level

      실제 OS 시스템 자체로 이루어진 허니팟이다. 어떠한 서비스도 emulate 하지 않고 실제 제공하며,

      주로 연구 및 대응을 위해 사용된다. 공격자가 다른 시스템 또는 조직에 피해를 줄 수 있는 위험성도

      크다.

 

--------------------------------------------------------------------------------

[1] IDS란…

   IDS는 Intrusion Detection System 의 약자로 한글로 "침입탐지시스템"이라고 불립니다.
   침입탐지를 하기 위해 관찰하고 있는 대상에 따라 H-IDS와 N-IDS의 두가지 분류로 나누고 있습니다.
   Host(컴퓨터)에서 일어나고 있는 일련의 활동들을 감시하고 침입 발생에 대해
   탐지를 하는 IDS를 H-IDS(Host-based IDS)라고 부르며,
   Network 상에서 일어나는 활동들을 감시하고 침입 시도를 탐지하는
   IDS를 N-IDS(Network-based IDS)라고 합니다.
   H-IDS는 감시 대상이 되는 host(컴퓨터)에 탑재가 되며, N-IDS는 지나가는 트래픽들을 볼 수 있는
   감시 대상이 되는 네트워크단에 설치가 됩니다.

 

[2] False Positive : 실제 공격이 아닌데 IDS가 공격으로 잘못 판단한 경우.

 

[3] False Negative : 실제 공격이 일어났지만 IDS가 이를 공격이라고 인식하지 못하는 경우