허니팟은 정보 수집 시스템과 같다. 허니팟은 해커의 공격을 유인하는 고의적인 공격의 표적인 것 같다. 따라서 공격자가 침입한 후, 그가 어떻게 성공했는지 알 수 있으며, 회사 서버에 대한 최신 공격과 허점을 적시에 파악할 수 있습니다. 해커가 사용하는 각종 도구를 모아 해커 간의 연계를 도청함으로써 그들의 소셜네트워크를 장악할 수도 있다.
허니팟을 설치하는 것은 어렵지 않다. 외부 인터넷에 패치되지 않은 마이크로소프트 Windows 나 빨간 모자 Linux 를 실행하는 컴퓨터만 있으면 된다. 해커는 컴퓨터의 로그와 심사 기능을 얻기 위해 함정을 설정할 수 있기 때문에 컴퓨터와 인터넷 연결 사이에 네트워크 모니터링 시스템을 설치해야만 몰래 컴퓨터에 들어오는 모든 트래픽을 기록할 수 있다. 그리고 앉아서 공격자가 스스로 그물에 걸려들 때까지 기다린다.
그러나 허니팟을 설정한다고 해서 위험이 없는 것은 아니다. 침입한 시스템의 대부분이 해커에 의해 다른 시스템을 공격하는 데 사용되기 때문이다. 이것이 하류 부채로 꿀망을 이끌어내는 화제다.
허니넷 (Honeynet) 은 해커의 행동을 합리적으로 기록하고 인터넷의 다른 시스템에 대한 위험을 최소화하거나 제거하는 또 다른 기술의 허니팟을 말한다. 역방향 방화벽 뒤에 구축된 허니팟이 그 예입니다. 방화벽의 목적은 인바운드 연결을 차단하는 것이 아니라 허니팟이 아웃바운드 연결을 설정하는 것을 방지하는 것입니다. 하지만 이 방법은 허니팟이 다른 시스템을 손상시키지 않게 하지만 해커에게 쉽게 발견될 수 있다.
데이터 수집은 허니팟 구축의 또 다른 기술적 과제입니다. 허니팟 모니터는 시스템을 드나드는 모든 패킷을 기록하기만 하면 해커가 무엇을 했는지 명확하게 알 수 있다. 허니팟의 로그 파일 자체도 좋은 데이터 소스이다. 그러나 로그 파일은 공격자에 의해 쉽게 삭제되기 때문에 일반적으로 허니팟이 동일한 네트워크에 로그 백업을 전송하도록 하는 것이 일반적이지만 방어 메커니즘이 완벽한 원격 시스템 로그 서버입니다. (로그 서버도 모니터링해야 합니다. 공격자가 새로운 방식으로 서버에 침입하면 허니팟은 의심할 여지 없이 그 가치를 증명할 것이다. ) 을 참조하십시오
최근 몇 년 동안 흑모 조직이 암호화 기술을 점점 더 많이 사용하고 있기 때문에 데이터 수집의 어려움이 크게 높아졌다. 오늘날 이들은 많은 컴퓨터 보안 전문가의 조언을 받아들이고 SSH 와 같은 암호 프로토콜을 사용하여 네트워크 모니터링이 통신에 아무런 영향을 미치지 않도록 하고 있습니다. 허니넷 암호의 계산은 대상 컴퓨터의 운영 체제를 수정하여 입력한 모든 문자, 전송된 파일 등의 정보를 다른 모니터링 시스템의 로그에 기록하는 것입니다. 공격자가 이런 일지를 발견할 수 있기 때문에, 꿀망은 은밀한 기술을 채택할 계획이다. 예를 들어 NetBIOS 브로드캐스트 패킷에서 입력 문자를 숨깁니다.
허니팟 기술의 장점
허니팟 시스템의 장점 중 하나는 분석할 데이터를 크게 줄인다는 것이다. 일반 웹 사이트나 메일 서버의 경우 공격 유량은 보통 합법적인 트래픽에 잠기는 경우가 많다. 허니팟을 드나드는 대부분의 데이터는 공격 유량이다. 따라서 데이터를 탐색하고 공격자의 실제 동작을 찾는 것이 훨씬 쉽습니다.
꿀망은 1999 온라인 이후 많은 정보를 수집했으며, www.honeynet.org 에서 찾을 수 있습니다. 일부 발견은 다음과 같습니다. 공격률은 지난 한 해 동안 두 배로 증가했습니다. 공격자는 취약점을 막을 수 있는 자동 클릭 도구를 점점 더 많이 사용하고 있습니다 (새로운 취약점이 발견되면 도구를 쉽게 업데이트할 수 있음). 허장성세에도 불구하고, 새로운 공격 방법을 채택하는 해커는 거의 없다.
허니팟은 주로 연구 도구이지만, 진정한 상업적 응용도 있다. 허니팟을 회사 웹 또는 메일 서버에 인접한 IP 주소에 설치하면 발생한 공격을 알 수 있습니다.
물론 허니팟과 꿀망은' 발포하면 잊는다' 는 안전장치가 아니다. 꿀망 프로젝트에 따르면 공격자가 30 분 만에 초래한 피해를 제대로 이해하는 데 보통 30 시간에서 40 시간이 걸린다. 이 시스템은 세심한 유지 관리와 테스트가 필요하다. 허니팟이 있으면 해커와 끊임없이 싸워야 한다. 네가 전쟁터를 선택했고 상대가 겨루기를 선택했다고 할 수 있다. 그러므로 너는 항상 경계해야 한다.
허니팟 분야에서 가장 흥미진진한 발전 성과 중 하나는 가상 꿀망의 출현이다. 가상 시스템 네트워크는 VMware 또는 사용자 모드 Linux 와 같은 가상 시스템 시스템을 사용하는 단일 시스템에서 실행됩니다. 가상 시스템을 사용하면 한 호스트 시스템에서 여러 가상 시스템 (일반적으로 4 ~ 10) 을 실행할 수 있습니다. 가상 꿀망은 비용, 기계가 차지하는 공간, 허니팟 관리의 어려움을 크게 줄였다. 또한 가상 시스템은 일반적으로 "일시 중지" 및 "재개" 기능을 지원하므로 보안이 손상된 컴퓨터를 동결하고 공격 방법을 분석한 다음 시스템에서 TCP/IP 연결과 같은 서비스를 켤 수 있습니다.
대규모 조직의 CSO (Chief Security Officer) 에게 꿀망을 운영하는 가장 좋은 이유 중 하나는 안에 악의가 있는 사람을 찾아내는 것이다.
허니팟 기술의 법적 문제
허니팟을 감시하는 것도 그에 상응하는 법적 결과를 짊어질 줄은 생각지도 못했다. 예를 들어 도청방지법을 위반할 수도 있다. 현재 판례법은 없지만 이 법에 익숙한 사람들은 양측이 약속한 구호가 출구라고 생각하는 경우가 많다. 즉, 각 허니팟에 슬로건을 붙이십시오: "시스템을 사용하는 사람은 법 집행관을 포함한 그의 행동이 감시되고 다른 사람들에게 공개된다는 데 동의합니다."
허니팟 기술 분석
첫째, 영화 스턴트에서 허니팟 기술에 이르기까지
컴퓨터 기술이 발달하면서 점점 더 많은 컴퓨터 스턴트가 영화 분야에 적용되고 있어 월급이 필요 없는 가상 배우들이 밤낮으로 지칠 줄 모르고 일하고 있다. 이러한 컴퓨터 기술을 통해 감독들은 실제로 존재할 수 없는 줄거리 환경을 구상할 수 있게 되었다. 그러나 컴퓨터 정보 보안 분야에서 네트워크 관리자는 해커의 실탄 침입과 파괴에 직면해야 했다. 컴퓨터 기술이 널리 사용되는 오늘날, 보안 분야는 어떠한 보조도 받지 못합니까? 대답은' 예' 입니다. 보안 분야에서 네트워크 관리자의' 가상 배우' 인 허니팟 기술을 대체하는 것입니다.
허니팟, 즉 허니팟은 영화에 사용된 특수 효과에 비해 신비롭지 않다. 이른바 허니팟은 보안 예방 조치가 없는 컴퓨터다. 그러나 일반 컴퓨터와는 달리 각종 데이터 기록 프로그램과 특수 용도의' 자체 노출 프로그램' 을 실행하고 있다. 꿀은 당연히 없어서는 안 된다. 탐욕스러운 흑곰을 유인하는 데 쓰인다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 스포츠명언) 침입자의 관점에서 볼 때, 허니팟 침입은 그들의 마음을 크게 떨어뜨릴 수 있다. 처음부터 음악 욕설 관리자의 바보를 훔치고, 결국 자신이 바보로 원숭이에게 속았다는 것을 깨닫게 된다. (윌리엄 셰익스피어, 햄릿, 독서명언)
둘째, 왜 허니팟을 사용해야 합니까?
터미네이터 2' 에서 아놀드는 존에게 용광로에 자신을 넣으라고 했다. 트로이, 아킬레스는 왕자에게 총에 맞아, 전쟁영화에서 기관총을 쏘아, 심지어' 검은 옷인' 에서도 외계인이 발사한 핵폭탄이 북극을 파괴했다! 만약 이 모든 것이 사실이라면, 우리의 스타는 이미 벽의 사진이 되었다. 영화를 찍으면 몇 명이 죽을까요? 더군다나 우리에게는 지구가 하나밖에 없는데, 영화 한 편을 위해 한 지역을 폭파할 가치가 있는가? 그래서 사람들은 컴퓨터 스턴트로 실제로 일어날 수 없는 이런 줄거리를 완성해야 한다. 마찬가지로, 관리자가 침입을 기록하기 위해 침입자가 서버에 들어가 파괴하지 않도록 하기 위해 허니팟이 나타났다.
앞서 언급했듯이 허니팟은 여러 가지 구멍이 있는 컴퓨터이며, 관리자는 얼마나 많은 구멍이 있는지 알고 있습니다. 마치 저격수가 총으로 받친 헬멧처럼 적의 저격수의 실력을 테스트한다. 허니팟이 침입하면 침입자의 일거수일투족을 기록하여, 관리자들이 앞으로 방어를 강화하기 위해 많은 침입자들이 어느 구멍으로 뚫기를 좋아하는지 더 잘 분석할 수 있게 한다.
반면에 방화벽은 알려진 위험에 기반한 규칙 체계를 기반으로 해야 하기 때문에 방화벽의 한계와 취약성으로 인해 발생합니다. 침입자가 새로운 형태의 공격을 개시하고 방화벽에 대응하는 규칙이 없다면 방화벽은 쓸모가 없고 방화벽으로 보호되는 시스템이 파괴될 것이다. 따라서 기술자는 침입자의 행동과 침입 데이터를 기록하고 필요한 경우 방화벽에 새로운 규칙이나 수동 방어를 추가할 수 있는 허니팟이 필요합니다.
셋째, 허니팟 깊숙이 들어가
허니팟을 사용하면 이렇게 많은 이점이 있기 때문에, 모든 사람이 자기 집에서 허니팟을 만든다면 해커를 예방하는 가장 좋은 방법은 아니겠는가? 이런 생각을 가진 독자는 여기서 멈추세요! 허니팟은 관리자가 분석 문제를 어느 정도 해결하는 데 도움이 될 수 있지만 방화벽이 아니라 위험한 침입 기록 시스템입니다. 교활한 침입자가 허니팟을 이용해 다른 사람을 공격하는 경우는 드물지 않다. 관리자가 어떤 설정에서 실수를 하면 꿀통은 개를 때리는 고기만두가 된다. 일반 가정 사용자의 컴퓨터 수준은 전문적인 수준에 미치지 못하여, 그들이 꿀통을 만들면 불이 날 수 있다. 꿀통은 간단해 보이지만 사실은 매우 복잡하다. (윌리엄 셰익스피어, 햄릿, 컴퓨터명언) 허니팟은 수시로 희생할 준비를 해야 하지만, 결국 침입 데이터를 기록하지 못한다면, 이 허니팟은 도살되기를 기다리는 육계일 뿐이다. 이것이 허니팟의 복잡성입니다. 그것은 침입자를 위해 허점을 남겨 백그라운드 녹음의 정상적이고 은밀한 운행을 보장해야 한다. 이것들은 모두 전문 기술이 필요하다. 허니팟이 마음대로 할 수 있다면, 우리는 집에서' 해커제국' 을 촬영할 수 있다. 일부러 허점을 열었지만 완벽하지는 않다.
그래서 허니팟을 꼭 알아야 합니다. 어떤 건가요?
1. 허니팟의 정의
우선 허니팟과 예방 조치가 없는 컴퓨터의 차이를 분명히 해야 한다. 둘 다 침입으로 인해 손상될 수 있지만 성질은 완전히 다르다. 허니팟은 네트워크 관리자가 세심하게 마련한' 블랙박스' 로 허점이 많아 보이지만 통제할 수 있어 수집한 침입 데이터가 매우 가치가 있다. (윌리엄 셰익스피어, 블랙박스, 블랙박스, 블랙박스, 블랙박스, 블랙박스, 블랙박스, 블랙박스, 블랙박스) 후자는 침입자에게 주는 선물일 뿐이다. 침입을 당해도 흔적을 찾을 수 없을 수도 있습니다. 그래서 허니팟은 "허니팟은 검출되고, 공격당하고, 파괴될 수 있는 안전한 자원" 으로 정의됩니다. "
허니팟을 설계하려는 의도는 해커가 침입하여 증거를 수집하고 실제 서버 주소를 숨기는 것이다. 따라서 우리는 공격 탐지, 경고 생성, 기록 능력, 부정 행위, 조사 지원 등의 기능을 갖춘 자격을 갖춘 허니팟을 요구합니다. 또 다른 기능은 관리자가 수행합니다. 필요한 경우 허니팟이 수집한 증거에 따라 침입자를 기소하는 것입니다.
2. 관련된 법적 문제
허니팟은 해커가 침입을 위해 사용하는 것으로, 반드시 일정한 허점을 제공해야 하지만, 우리는 또한 많은 허점이' 고위험' 수준에 속한다는 것을 알고 있으며, 자칫하면 시스템이 침투할 수 있다는 것을 알고 있다. 허니팟이 파괴되면 침입자가 무엇을 해야 할지 관리자는 예측할 수 없다. 예를 들어, 침입자가 허니팟에 성공적으로 들어가 이를 발판 (침입자가 블랙컴퓨터에 의해 다른 컴퓨터에 침입한 하나 이상의 컴퓨터를 원격으로 제어함) 으로 설정하는 것은 트래핑 기술, 프라이버시, 책임 등 세 가지 문제에 직면해야 합니다.
트래핑 기술은 이 허니팟을 설치한 관리자의 기술과 관련이 있다. 불완전하거나 은폐성이 부족한 꿀통은 침입자에게 쉽게 간파되거나 파괴될 수 있으며, 그 결과는 매우 심각할 수 있다.
허니팟은 녹음 장치이기 때문에 프라이버시 문제가 발생할 수 있습니다. 기업 관리자가 회사 직원의 활동 데이터를 수집하거나 회사의 네트워크 통신 정보를 몰래 가로채기 위해 허니팟을 악의적으로 설계한다면, 이 허니팟은 이미 법적 문제를 다루고 있다.
가장 유감스럽게도, 허니팟은 침입자에 의해 성공적으로 파괴되었다. 허니팟이 의도적으로' 제사' 를 위해 설계되었기 때문에 파괴되는 것은 당연히 합리적이라고 생각할 수 있다. 작은 문제를 크게 할 필요는 없다. 예, 허니팟은 실제로 "학대" 에 사용되지만 네트워크로 연결된 컴퓨터이기도합니다. 만약 당신이 만든 허니팟이 침입자에 의해 깨지고, 대학 서버를 공격하기 위해' 차용' 한다면, 이로 인한 피해는 당신이 부담해야 할 것 같습니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 대학명언) 아무도 말할 수없는 몇 가지 책임이 있습니다. 예를 들어, 당신이 만든 허니팟은 슬램, 사사, Slammer 등 유명한 파충류 바이러스를 끌어들여 전파원 중 하나가 되었습니다. 그럼 누가 이 책임을 맡을까요?
3. 허니팟 타입
세상에는 매우 포괄적인 것이 없을 것이고, 허니팟도 마찬가지이다. 관리자의 요구에 따라 허니팟 시스템과 취약성 설정의 요구 사항이 다릅니다. 허니팟은 표적이 되는 것이지, 지루하게 설정하는 것이 아니다. 그 결과 다양한 허니팟이 생겨났다 ...
3. 1. 실제 시스템 허니팟
실제 시스템 허니팟은 가장 실제 허니팟이며, 실제 시스템을 실행하고 있으며, 가장 위험하고 실제 침입이 있는 취약점이지만, 기록된 침입 정보는 종종 가장 현실적입니다. 이 허니팟 설치 시스템은 일반적으로 원래 설치되어 있으며 SP 패치가 없거나 낮은 버전의 SP 패치가 있습니다. 관리자의 필요에 따라 연구할 만한 허점이 존재하는 한 약간의 허점이 추가될 수 있다. 그런 다음 허니팟을 인터넷에 연결합니다. 현재의 인터넷 스캔 빈도에 따르면 이런 허니팟은 목표물을 빠르게 끌어들여 공격을 받을 수 있다. 시스템에서 실행되는 녹음기는 침입자의 일거수일투족을 기록하지만 가장 위험하다. 침입자의 모든 침입은 오버플로우, 침투, 선점 권한 등과 같은 시스템의 실제 반응을 일으킬 수 있기 때문이다.
3.2 의사 시스템 허니팟
의사 시스템이란 무엇입니까? "가짜 제도" 로 오해하지 마세요. 실제 시스템을 기반으로 하지만 가장 큰 특징은' 플랫폼과 허점의 비대칭' 이다.
여러분도 알다시피, Windows 만이 세계 유일의 운영 체제는 아닙니다. 이 분야에서는 리눅스, 유닉스, OS2, BeOS 등이 있다. 그들의 핵심은 다르기 때문에 허점도 다르다. 간단히 말해서, 여러 시스템을 동시에 공격할 수 있는 취약점 코드는 매우 적다. LSASS 오버플로우 취약점으로 Windows 의 허가를 받을 수도 있지만, 같은 방법으로 Linux 를 넘긴 것은 헛수고이다. 이 특징에 따르면' 의사 시스템 허니팟' 이 등장해 일부 도구와 프로그램의 강력한 모방능력을 이용해 자신의 플랫폼에 속하지 않는' 허점' 을 위조했다. 침입의이 "허점" 은 하나의 프로그램 프레임 워크 내에서만 회전 할 수 있습니다. 성공적인 "침투" 가 있더라도 프로그램 제조의 꿈입니다. 시스템에는 그러한 허점이 성립 될 조건이 없습니다. "침투" 에 대해 어떻게 말합니까? "의사 시스템" 을 실현하는 것은 어렵지 않습니다. Windows 플랫폼의 일부 가상 시스템 프로그램은 Linux 자체의 스크립팅 기능과 타사 도구를 쉽게 구현할 수 있습니다. Linux/Unix 에서도 관리자는 실시간으로 존재하지 않는' 허점' 을 만들어 침입자를 혼동시킬 수 있다. 또한 백그라운드에서 해당 녹음 프로그램을 열면 추적 녹음을 쉽게 수행할 수 있습니다.
이 허니팟의 장점은 침입자에 의해 파괴되는 것을 최대한 막을 수 있고, 존재하지 않는 허점을 시뮬레이션할 수 있으며, 심지어 일부 Windows 웜이 Linux 를 공격하도록 할 수 있다는 것이다. 자격을 갖춘 Windows 특성을 시뮬레이션하기만 하면 된다! 그러나 그것은 또한 단점이 있다. 똑똑한 침입자는 단 몇 라운드만에 위장을 간파할 수 있기 때문이다. 반면, 관리자가 인내심이 있거나 한가하지 않으면 스크립트를 작성하는 것이 쉽지 않습니다.
꿀통을 쓰다
허니팟은 마음대로 하는 것이 아니기 때문에, 관리인은 당연히 허니팟을 만들지 않고 집에 두고 한가하게 지내게 된다. 그럼 허니팟은 어떻게 쓰나요?
4. 1. 침입자를 미혹시키고 서버를 보호합니다.
일반 클라이언트/서버 모드에서는 브라우저가 웹 서버에 직접 연결됩니다. 즉, 전체 웹 서버가 침입자 앞에 노출됩니다. 서버의 보안 조치가 충분하지 않으면 전체 웹 사이트의 데이터가 침입자에 의해 쉽게 손상될 수 있습니다. 그러나 허니팟이 클라이언트/서버 모델에 내장되어 있고, 허니팟이 서버 역할을 하고, 실제 웹 서버가 인트라넷 매핑 허니팟의 네트워크 포트 역할을 하면 웹 사이트의 보안 계수를 높일 수 있습니다. 침입자가 외부 "서버" 를 관통하더라도 귀중한 정보를 얻지 못할 것입니다. 왜냐하면 그는 단지 허니팟을 침범했을 뿐이기 때문입니다. 침입자가 허니팟을 바탕으로 인트라넷으로 뛰어들 수는 있지만, 외부 서버를 직접 점령하는 것보다 훨씬 복잡하며, 수준이 부족한 많은 침입자들은 뒷걸음질 칠 수밖에 없다. 허니팟은 파괴될 수도 있지만 허니팟이 파괴되었다는 것을 잊지 마세요.
이를 위해 허니팟은 더 이상 허점을 설계할 수 없다. 허니팟이 내부 서버의 보호층이 된 이상 충분히 강해야 한다. 그렇지 않으면 전체 사이트가 헛되이 배달된다.
4.2 침입자를 막고 서버를 강화하십시오.
침입과 예방은 항상 뜨거운 이슈였으며, 허니팟 링크를 삽입하면 예방이 흥미로워집니다. 이 허니팟의 설정은 마치 내부 웹 서버와 같다. 침입자가 이 허니팟을 침입하려고 할 때, 관리자는 이미 충분한 공격 데이터를 수집하여 실제 서버를 강화했다.
이런 전략으로 허니팟을 배치하려면 관리자의 협조가 필요하다. 그렇지 않으면 침입자가 첫 번째를 돌파하면 두 번째는 공격을 받을 것이다 ...
4.3 사이버 범죄자를 유인하다
이것은 매우 흥미로운 응용이다. 관리자가 일반적인 클라이언트/서버 모델 웹 서버가 희생된 것을 발견하면 육계로서 기술 능력이 허용되면 관리자가 서버를 신속하게 복구할 수 있습니다. 다음엔요? 이제 침입자들은 서버를 육계로 바꾸었다고 확신하고 있으며, 다음에 꼭 돌아와서 결과를 볼 것이다. 너는 그를 방자하게 하느냐? 일부 기업 관리자들은 포기하지 않고 허니팟을 설치해 침입된 상태를 시뮬레이션하고 강태공을 가동한다. 마찬가지로, 일부 기업들은 악의적인 침입자를 발견하기 위해 고의로 허점이 뚜렷한 꿀통을 설치해 침입자가 자신의 행동에 대한 모든 증거를 기록하도록 한다. 일각에서는 이를' 교도소 기계' 라고 부르며 통신국과의 협력을 통해 IP 공급원의 검은 손을 쉽게 찾아낼 수 있다.
넷. 결론
사이버 침입 유형의 다양성이 발전함에 따라 허니팟도 다양화해야 한다. 그렇지 않으면 언젠가는 침입자의 유린을 당할 수 없게 된다. 또한 보안 분야에서 활동하는 가상 배우인 허니팟이 바로 당신이 설계한 것이기 때문에 더 높은 네트워크 관리자 기술 능력도 필요합니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 안전명언) 우리는 허니팟을 T-X 처럼 변덕스럽게 만들 수는 없지만, 적어도 우리가 디자인한 Arnold 가 T-X 에 의해 깨지는 것을 막아야 한다. 다시 반항지령에 주입된다.