허니팟은 비인가자가 시스템에 접근을 시도하는 것에 대해 역으로 탐침(detect), 다른곳으로 보내기(deflect)와 같은 트랩을 말한다.
일반적으로 허니팟은 컴퓨터, 데이터, 네트워크 사이트 (네트워크의 한 부분)으로 구성되며, 이것은 공격자들로 부터 하여금 가치있는 자원이나 정보를 획득하는것처럼 보이게 하지만, 실상은 고립되어 있고, 보호되어 있으며, 행동이 모니터 되고 있도록 구성된다.
기능 :
허니팟은 감시와 사전 알림 툴로서 매우 가치가 있다.
허니팟은 주요 데이터는 가지고 있지 않도록 하고, 합법적인 트래픽이나, 활동에 대해서 보이지 않게 막아주는 기능을 수행한다.
허니팟은 네트워크의 리스크를 가져올 수 있는 여지가 있다. 그러므로 매우 주요하게 관리 되어야 한다. 만약 그렇지 않게 허술하게 관리한다면, 공격자들이 시스템을 깨트리고 말 것이다.
Victim host는 공격자들의 대상이 되는 호스트이며, 이것이 허니팟이다. 이러한 victim host는 2가지 주요 목적을 가지고 있다.
타입 :
- 허니팟은 디플로이 기반으로 분류하거나, 필요 레벨에 따라 분류된다.
- 디플로이 기반 분류는 다음과 같다.
1. Production Honeypot : 쉽게 이용할 수 있으며, 제한된 정보를 이용할 수 있도록 허용하고, 주요 기업이나 조직에서 이용하는 방식이다.
보통 production honeypots는 허니팟과는 낮은 상호작용을 수행하며, 배포가 매우 쉽다. 그것은 공격이나 공격자들에게 research Honeypot보다는 적은 정보를 제공한다. Production Honeypot의 주요 목적은 조직의 리스크를 최소화 하는데 있다.
2. Research Honeypot : 이것은 지원자들에 의해서 수행된다. 즉, 비영리 리서치 조직이나, 교육을 제공하는 기관 등에서 공격의 동기나 기술을 수집하기 위해서 사용된다. 이러한 허니팟은 특정 조직의 직접적인 정보를 제공하지는 않는다. 대신에 그들은 조직에 일어날수 있는 위협을 조사하고, 위협으로 부터 보호하는 더 낳은 방법을 배우기 위한 목적으로 이용된다.
Research Honeypot는 복잡한 배포과정과 운영이 필요하며, 광역의 데이터를 수집하고, 리서치용, 군용, 정부 조직용으로 사용된다.
Spam versions :
스패머들은 open mail relays와 open proxies와 같은 저향력이 없는 자원을 악용한다.
스팸 허니팟은 IP주소를 일부러 누설하여, 벌크 스팸을 캡쳐한다. (이렇게 수집된 내용에서, 스패머의 URL과 응답 매커니즘을 추출할 수 있다.)
이 허니팟은 자체적으로 강력한 스팸툴로서 작용한다. 일찍이 스팸은 스팸될 가능성이 있는 위치를 숨기거나, 많은양의 스팸 테스트를 수행해서 이것들의 전달을 실패하도록 하거나, 그냥 스팸을 자신들의 시스템으로 전달할 수 밖에 없었다.
하지만 허니팟을 이용하면 이러한 스팸을 쉽고 안전하게 처리할 수있다.
즉, 스패머들이 수행하는 작업을 방해 하는것이며, 이 방해라는 의미는 스팸을 받지만 전송하지 않는다는 뜻을 의미한다.
E-mail trap :
스팸트랩과 허니팟의 차이는 허니팟은 검출과 수집으로 좀더 낳은 시스템을 유지하는 것이라 할것이다. 스팸이 허니팟에 도착하도록 하는 것은 법적으로 문제가 없다. 즉, 적법한 메일을 허니팟에 보관하고 있고 언제든지 다시 원래 목적으로 보낼 수 있기 때문이다.
Honeynet :
- 2개 혹은 이상의 허니팟이 모여서 허니넷을 만든다.
보통 허니넷은 다양한 네트워크로 분산된 환경에서 모니터링을 수행할 수 있도록 해주며, 허니팟의 고갈현상을 방지해준다.
허니넷과 허니팟은 보통 큰 규모의 침입 방지 시스템을 만들때 주로 이용된다.
- honeyfarm은 하니팟과 분석툴의 중앙집중적인 모임을 의미한다.
허니팟 구성 방식 :
<허니팟의 구성방식별 네트워크 구성도>
허니팟 주요 기능 :
허니팟의 주요 요건 :
허니팟 관련 이미지 :
1. 허니팜(Honey Farm) : 허니팜은 허니팟의 중앙집중적 집합체이다. 다양한 경로로 들어올 수 있는 공격을 집중화해서 처리한며, 아래 사진은 그러한 모습을 보여준다.
- 네트워크 A, B로 서로 다른 경로로 들어오고 있는 스캐닝 공격을, 허니팜으로 Redirect 하고 잇는 모습
2. 허니팟이 적법한 요청과, 공격을 처리하여 요청을 다시 만들어서 수행함
2.1 공격이 들어온경우 :
- 아래 서버와 같이 악의적인 공격이 들어온경우
- 클라이언트 허니팟에서 요청을 재 생성함
- 공격자에게 허니팟 정보를 보여줌
2.2 정상적인 서비스 요청인경우 :
- 상단의 Bening Server 에서와 같이 정상적인 요청 들어옴
- 클라이언트 허니팟에서 요청을 재 생성함
- 정상적인 서비스 정보 응답
3. 허니팟의 목적 : 공격정보 로깅 및 수집
- 스캐닝 공격을 수행한경우 공격에 대한 로깅을 수행하고, 공격정보를 수집하고 있음
허니팟은 감시와 사전 알림 툴로서 매우 가치가 있다.
허니팟은 주요 데이터는 가지고 있지 않도록 하고, 합법적인 트래픽이나, 활동에 대해서 보이지 않게 막아주는 기능을 수행한다.
허니팟은 네트워크의 리스크를 가져올 수 있는 여지가 있다. 그러므로 매우 주요하게 관리 되어야 한다. 만약 그렇지 않게 허술하게 관리한다면, 공격자들이 시스템을 깨트리고 말 것이다.
Victim host는 공격자들의 대상이 되는 호스트이며, 이것이 허니팟이다. 이러한 victim host는 2가지 주요 목적을 가지고 있다.
첫번째는, 공격자들이 획득한 정보가 존재하지 않거나, 사실상 필요 없는 것이거나, 별로 중요하지 않은 정보를 획득하기 위해서 고립된 네트워크에 공격자들을 머물게 하는데 있다.
두번째는, 지식의 수집이다. 이것은 공격자들이 시스템을 깨트리고 들어왔던 매커니즘을 수집하도록 하고, 차후에 있을 공격에 대해서 미리 방어하도록 준비할수 있도록 해준다.
두번째는, 지식의 수집이다. 이것은 공격자들이 시스템을 깨트리고 들어왔던 매커니즘을 수집하도록 하고, 차후에 있을 공격에 대해서 미리 방어하도록 준비할수 있도록 해준다.
타입 :
- 허니팟은 디플로이 기반으로 분류하거나, 필요 레벨에 따라 분류된다.
- 디플로이 기반 분류는 다음과 같다.
1. Production Honeypot : 쉽게 이용할 수 있으며, 제한된 정보를 이용할 수 있도록 허용하고, 주요 기업이나 조직에서 이용하는 방식이다.
보통 production honeypots는 허니팟과는 낮은 상호작용을 수행하며, 배포가 매우 쉽다. 그것은 공격이나 공격자들에게 research Honeypot보다는 적은 정보를 제공한다. Production Honeypot의 주요 목적은 조직의 리스크를 최소화 하는데 있다.
2. Research Honeypot : 이것은 지원자들에 의해서 수행된다. 즉, 비영리 리서치 조직이나, 교육을 제공하는 기관 등에서 공격의 동기나 기술을 수집하기 위해서 사용된다. 이러한 허니팟은 특정 조직의 직접적인 정보를 제공하지는 않는다. 대신에 그들은 조직에 일어날수 있는 위협을 조사하고, 위협으로 부터 보호하는 더 낳은 방법을 배우기 위한 목적으로 이용된다.
Research Honeypot는 복잡한 배포과정과 운영이 필요하며, 광역의 데이터를 수집하고, 리서치용, 군용, 정부 조직용으로 사용된다.
Spam versions :
스패머들은 open mail relays와 open proxies와 같은 저향력이 없는 자원을 악용한다.
스팸 허니팟은 IP주소를 일부러 누설하여, 벌크 스팸을 캡쳐한다. (이렇게 수집된 내용에서, 스패머의 URL과 응답 매커니즘을 추출할 수 있다.)
이 허니팟은 자체적으로 강력한 스팸툴로서 작용한다. 일찍이 스팸은 스팸될 가능성이 있는 위치를 숨기거나, 많은양의 스팸 테스트를 수행해서 이것들의 전달을 실패하도록 하거나, 그냥 스팸을 자신들의 시스템으로 전달할 수 밖에 없었다.
하지만 허니팟을 이용하면 이러한 스팸을 쉽고 안전하게 처리할 수있다.
즉, 스패머들이 수행하는 작업을 방해 하는것이며, 이 방해라는 의미는 스팸을 받지만 전송하지 않는다는 뜻을 의미한다.
E-mail trap :
스팸트랩과 허니팟의 차이는 허니팟은 검출과 수집으로 좀더 낳은 시스템을 유지하는 것이라 할것이다. 스팸이 허니팟에 도착하도록 하는 것은 법적으로 문제가 없다. 즉, 적법한 메일을 허니팟에 보관하고 있고 언제든지 다시 원래 목적으로 보낼 수 있기 때문이다.
Honeynet :
- 2개 혹은 이상의 허니팟이 모여서 허니넷을 만든다.
보통 허니넷은 다양한 네트워크로 분산된 환경에서 모니터링을 수행할 수 있도록 해주며, 허니팟의 고갈현상을 방지해준다.
허니넷과 허니팟은 보통 큰 규모의 침입 방지 시스템을 만들때 주로 이용된다.
- honeyfarm은 하니팟과 분석툴의 중앙집중적인 모임을 의미한다.
허니팟 구성 방식 :
<허니팟의 구성방식별 네트워크 구성도>
1. 방화벽 외부 :
- 유인된 외부공격으로 인한 내부 시스템 공격 위험이 덜함
- 불필요한 정보의 수집으로 인한 효율성 저하
2. 방화벽 내부 :
- 수집되는 정보의 효율성이 매우 높음
- 내부 시스템의 위험도 증가
- Honey Pot 설정상 방화벽 패킷 필터링에 영향이 커서 보안수준 저하
3. DMZ내부 :
- 보안수준 및 정보수집 효율성 높음
- 시간관리 비용이 높아지며, 다른서버와의 연결 차단에 유의해야함
- 유인된 외부공격으로 인한 내부 시스템 공격 위험이 덜함
- 불필요한 정보의 수집으로 인한 효율성 저하
2. 방화벽 내부 :
- 수집되는 정보의 효율성이 매우 높음
- 내부 시스템의 위험도 증가
- Honey Pot 설정상 방화벽 패킷 필터링에 영향이 커서 보안수준 저하
3. DMZ내부 :
- 보안수준 및 정보수집 효율성 높음
- 시간관리 비용이 높아지며, 다른서버와의 연결 차단에 유의해야함
허니팟 주요 기능 :
1. 침입자 활동감시, 로그파일 저장, 이벤트 기록(파일복사 행위, 컴파일, 키스트로크등..)
2. 손실된 정보의 수집
- 허니팟이 구동되는 동안 수집할 수 있는 증거 수집
- 메모리 덤프, 원격 호스트로의 네트워크 연결, 가상의 허니팟일때 유리하다.
3. 시스템 백업
- 증거 보존을 위한 가상 시스템 백업
4. 남아있고 손실되지 않은 정보의 수집
2. 손실된 정보의 수집
- 허니팟이 구동되는 동안 수집할 수 있는 증거 수집
- 메모리 덤프, 원격 호스트로의 네트워크 연결, 가상의 허니팟일때 유리하다.
3. 시스템 백업
- 증거 보존을 위한 가상 시스템 백업
4. 남아있고 손실되지 않은 정보의 수집
허니팟의 주요 요건 :
1. 쉽게 해커에게 노출되어야 한다.
2. 쉽게 해킹이 가능한것처럼 취약해 보여야한다.
3. 시스템의 모든 구성요소를 가지고 있어야한다.
4. 시스템을 통과하는 모든 패킷을 감시해야한다.
5. 시스템에 접근하는 모든 사람에 대해 관리자에게 알려준다.
2. 쉽게 해킹이 가능한것처럼 취약해 보여야한다.
3. 시스템의 모든 구성요소를 가지고 있어야한다.
4. 시스템을 통과하는 모든 패킷을 감시해야한다.
5. 시스템에 접근하는 모든 사람에 대해 관리자에게 알려준다.
허니팟 관련 이미지 :
1. 허니팜(Honey Farm) : 허니팜은 허니팟의 중앙집중적 집합체이다. 다양한 경로로 들어올 수 있는 공격을 집중화해서 처리한며, 아래 사진은 그러한 모습을 보여준다.
- 네트워크 A, B로 서로 다른 경로로 들어오고 있는 스캐닝 공격을, 허니팜으로 Redirect 하고 잇는 모습
2. 허니팟이 적법한 요청과, 공격을 처리하여 요청을 다시 만들어서 수행함
2.1 공격이 들어온경우 :
- 아래 서버와 같이 악의적인 공격이 들어온경우
- 클라이언트 허니팟에서 요청을 재 생성함
- 공격자에게 허니팟 정보를 보여줌
2.2 정상적인 서비스 요청인경우 :
- 상단의 Bening Server 에서와 같이 정상적인 요청 들어옴
- 클라이언트 허니팟에서 요청을 재 생성함
- 정상적인 서비스 정보 응답
3. 허니팟의 목적 : 공격정보 로깅 및 수집
- 스캐닝 공격을 수행한경우 공격에 대한 로깅을 수행하고, 공격정보를 수집하고 있음