1 / 42

Honey Pot

Honey Pot. 학과 : 전산 이름 : 정연우 학번 :19931680. 목 차. Honey pot 이란 ? Honey pot 의 목적 Honey pot 의 요건 Honey pot 의 구조 VMware 로 Honey pot 설치 로그 서버 만들기 로그 서버 설치 공개 허니팟 툴 자료 출처. 허니팟 이란 ?.

mitch
Download Presentation

Honey Pot

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Honey Pot 학과:전산 이름:정연우 학번:19931680

  2. 목 차 • Honey pot 이란? • Honey pot 의 목적 • Honey pot 의 요건 • Honey pot 의 구조 • VMware 로 Honey pot 설치 • 로그 서버 만들기 • 로그 서버 설치 • 공개 허니팟 툴 • 자료 출처 Honey pot

  3. 허니팟 이란? • 컴퓨터 프로그램에 침입한 스팸과 컴퓨터바이러스, 크래커를 탐지하는 가상컴퓨터이다. 침입자를 속이는 최신 침입탐지기법으로 마치 실제로 공격을 당하는 것처럼 보이게 하여 크래커를 추적하고 정보를 수집하는 역할을 한다. 크래커를 유인하는 함정을 꿀단지에 비유하여 Honey pot이란 명칭이 붙여지게 되었다. Honey pot

  4. 1990년대 중반 미국 매사추세츠 공과대학 교수 데이비드 클록(David Clock)이 처음 제안한 뒤, 1999년 선마이크로시스템즈의 컴퓨터 보안전문가인 랜스 스피츠너(Lance Spitzner)와 2002년 소프트웨어 제조회사 사인SAIC:(Science Applications International Corporation)이 실제 프로젝트를 시행하였다. 침입자를 오래 머물게 하여 추적이 가능하게 하므로 능동적으로 방어할 수 있고, 침입자의 공격을 차단할 수 있다는 장점으로 인해 많이 활용되고 있다. Honey pot

  5. 허니팟의 발전된 유형으로 Honey net이 있으며 보통 허니팟 이란 해커의 정보를 얻기 위한 하나의 개별 시스템을 뜻하고, 허니넷은 허니팟을 포함한 하나의 네트워크를 의미한다. • 2001년7월 외신을 통해 파키스탄인으로 추정되는 크래커들이 미국의 한 시스템에 침입, 완전 장악한 사례가 보도되었다. 하지만 이들이 장악한 시스템은 "허니팟(HoneyPot)"으로 알려진 유인시스템이었다. Honey pot

  6. 허니팟의 목적 • 경각심(Awareness),정보(Information),연구(Research) 해커를 유인해서 정보를 얻거나 잡기 위함 -정보의 수집과 시스템 제어의 기능을 충실히 수행할 수 있어야함 • 공격의 회피 -중요한 시스템을 보호하기 위한 위장서버의 역할 Honey pot

  7. 허니팟의 요건 • 쉽게 해커에게 노출되어야 한다. • 쉽게 해킹이 가능한 것처럼 취약해 보여야 한다. • 시스템의 모든 구성 요소를 갖추고 있어야 한다. • 시스템을 통과하는 모든 패킷을 감시해야 한다. • 시스템에 접속하는 모든 사람에 대해 관리자에게 알려줘야 한다. Honey pot

  8. 허니팟의 구조 • 허니팟의 위치 ① 방화벽 앞 – IDS(침입 탐지 시스템)와 마찬가지로 Honey Pot의 공격으로 인한 내부 네트워크의 위험도는 증가하지 않는다. 하지만 원하지 않는 수많은 정보와 가치가 없는 정보들을 너무 많이 수집하게 되면서 효율성이 떨어진다. ② 방화벽 내부 - 효율성은 높으나 내부 네트워크에 대한 위험도가 커진다. 또한 Honey Pot은 대부분 많은 서비스를 제공하는 것처럼 설정되기 때문에 방화벽의 패킷 필터링 규칙에 많은 영향을 주게 되며, 이는 결국 내부 네트워크의 보안 수준을 떨어뜨린다. ③ DMZ 내 -설치에 많은 시간이 걸리고, 관리자가 많은 노력을 들여야 하며 Honey Pot을 DMZ 내에 위치시킬 때 중요한 것은 다른 서버와의 연결을 확실하게 막아야 한다는 것이다. Honey pot

  9. 일반적인 허니팟 Honey pot

  10. VMware를 이용한 허니팟 • 하나의 시스템으로 방화벽과 IDS, Honey Pot, Log Server를 같이 운영한다. Honey pot

  11. GEN-Ⅰ허니넷 • 방화벽 안에 윈도우와 리눅스 Honey Pot을 설정하고, 스위칭 환경에서 로그 서버를 운영. • GEN-Ⅰ은 분당 5개 정도의 연결만을 허락 • 자동화된 툴의 공격과 웜 공격에 대한 정보 수집에 좋은 성능을 보인다. • Honey Pot을 이용해 Honey Pot에서 시작될 수 있는 DoS나 무차별적 스캐닝 공격을 막을 수 있다. Honey pot

  12. Honey pot

  13. GEN – II허니넷 • GEN-Ⅱ에는 Hogwash라는 2계층의 IDS 게이트웨이가 추가되었다. • IDS 게이트웨이는 Snort에 의해서 공격으로 탐지되는 패킷을 2계층에서 차단할 수 있다. • 라우팅 정보의 변경을 통한 접근 제어를 하지 않으며, 방화벽의 필터링 기능과 IDS의 침입 탐지 기능을 결합한 것이다 Honey pot

  14. Honey pot

  15. VMware를 이용한 허니팟 설치 • VMware를 이용하여 하나의 시스템으로 방화벽과 IDS, 허니팟, Log Server를 같이 운영하는 것이 가능하다. • 장점 저렴한 비용으로 쉽게 허니넷을 구성할 수 있다 • 단점 하나의 시스템에 설치되므로 시스템이 고장났을 경우, 허니넷 전체가 작동하지 않는다. Honey pot

  16. Virtual Machine만들기 "New Virtual Machine" 을 선택 Honey pot

  17. 해당 운영체제를 선택 Honey pot

  18. 이미지 이름과 이미지가 설치될 폴더를 설정한다. Honey pot

  19. "Use host-only networking" 을 선택 실제운영체제와 가상의 운영체제간 가상의 사설 네트워크로 연결됨 Honey pot

  20. Virtual Machine생성 완료 Honey pot

  21. 녹색의 재생버튼을 눌러 부팅 이후 리눅스 설치 법대로 리눅스 설치 Honey pot

  22. 로그 서버 만들기 • 허니팟에서 가장 중요한 ‘Data Capture, Data Collection, Data Control’세가지 요소를 만족시키는 가장 중요한 것이 로깅이다. • 보통 로그서버는 유닉스나 리눅스를 사용한다 이유는 관리자의 요구에 맞는 상세한 로그를 남길 수 있기 때문이다. • 로그는 ‘장치(facility)’와 ‘레벨(level)’로 구별하여 설정한다. Honey pot

  23. 장치(facility)-로그를 남기는 하나의 프로그램을 의미 각각의 장치가 특정 분야의 로그를 맡는다. 레벨(level)-장치의상태를 레벨로 나타낸 것이며 장치는 레벨 중 하나를 갖는다 장치와 레벨 • 장치와 레벨의 설정은 기본적으로/etc/syslog.conf 에서 한다. Honey pot

  24. 로그 장치(facility) 목록 Honey pot

  25. 로그 장치(facility) 목록 Honey pot

  26. 로그 레벨(level) 목록 Honey pot

  27. syslog.conf file 1 2 3 Honey pot

  28. syslog.conf file • 커널에 대한 모든 로그는 /dev/console 창으로 보내게 되어 있으나, 주석 처리가 되어 있기 때문에 작동하지 않는다. 주석을 제거하면, 이에 대한 로그를 터미널에서 확인할 수 있다. • Mail, cron 등 여러 가지 로그에 대해 none이 설정되어있다. 따라서 이에 대한 로그는 남기지 않는다. • Cron에 대한 로그는 /var/log/cron에 남긴다. 리눅스의 경우 /var/log 디렉토리에 로그파일들이 존재 Honey pot

  29. 로그 파일 목록 Honey pot

  30. 로그 파일 목록 Honey pot

  31. 로그 서버 설치하기 • 기본 설정 파일 위치 변경하기 • Make 명령으로 재 컴파일 • Syslogd.c 파일의 #define _PATH_LOGCONF “ /etc/honeypot.conf 로 변경 • 기본으로 설정되어있는 파일을 침입자가 cat 등을 통해 syslog.conf파일을 들여다 보았을 때 syslogd가 다른 설정 파일을 참조하도록 재 컴파일 하여두면 침입자는 syslog.conf파일의 내용으로 log파일이 local에 저장된다고 생각할 것이다. Honey pot

  32. Honeypot.conf 파일 설정 • Mail과 news에 대한 로그에 none를 지워 이에 대한 로그를 남긴다. • 모든 로그가 logserver에 전달되도록 설정한다. Honey pot

  33. /etc/hosts에 로그 서버의 IP 주소를 할당해준다. Honey pot

  34. 설정을 마치면 syslog 데몬을 다시 실행한다. • Kill -9 2037 명령으로 프로세스를 죽인 후 다시 실행한다. • 컴파일한 syslogd 파일을 /sbin/syslogd로 덮어쓴다. Honey pot

  35. 로그를 받아 들이는 시스템을 설정 • 프로세스를 찾아 정지시킨 다음, syslog –r 옵션을 주어 실행한다. • /etc/services 파일에 syslogd 514/udp가 적혀 있어야 한다. 목록에 기록되지 않은 서비스는 활성화되지 않기 때문이다. Honey pot

  36. 공개 허니팟 툴 • Trapserver1beta -서버로 위장하여 해커를 유인하는 허니팟 • BackOfficer Friendly -BackOfficer Friendly는 윈도우 에서 돌아가는 가짜 서버어플리케이션으로서 백오리피스 서버인척하고 공격자에게 가짜 응답을 보냅니다. 마치 실제로 백오리피스 공격이 성공해서 파일 조작 등이 가능하고 키 로그등이 심어진 것 처럼 행동하며 그때에 IP를 로그하고 모든 행동을 다 로그 합니다 Honey pot

  37. Trapserver1beta • 트랩서버 메인 화면 Honey pot

  38. Trapserver1beta • 클라이언트에서 트랩서버로 접속한 화면 Honey pot

  39. Trapserver1beta • autosavelog.txt 파일에 저장된 로그 Honey pot

  40. BackOfficer Friendly • BackOfficer Friendly 메인 화면 Honey pot

  41. BackOfficer Friendly • 다양한 서비스를 제공하듯이 흉내 내는 기능을 포함하고 있습니다. FTP, HTTP, SMTP. 그리고 ISS나 SATAN 스캔이 들어온다면 검출해낼 수 있고. BOF는 마치 백오리피스 서버인 것처럼 침투자의 다양한 반응에 적절하게 반응한다. 침투자의 요청을 무시하는 대신에 마치 진짜 인 것처럼 반응을 보내고 이를 로그 합니다. • 설치 방법 :여타 프로그램과 같은 방식으로 인스톨하고 작동시키면 마치 백오리피스에 감염된 컴퓨터인 것처럼 행동한다. • 설치 가능 OS : 윈도즈 9x, 윈도즈 NT, 윈도즈 2000 • 사용법 : bof를 켜두고 있으면 로그가 쌓인다(save를 눌러 따로 저장해야 한다.) SMTP, FTP등은 로그만 남고 bof 에 접근이 있을 때는 어떤 접근이고 어떤 명령을 수행했는지 다 보여준다. Honey pot

  42. 자료 출처 • [사이트] • The Honeynet PROJECT • http://www.honeynet.org/ • 네이버 리눅스 유저 그룹 • http://cafe.naver.com/linuxcare.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=4041 • 네이버 백과 사전 • http://100.naver.com/100.php?id=794488 • 중앙일보 뉴스위크 • http://nwkold.joongang.co.kr/200110/499/nw499027.html • MicrosoftTechNet • http://www.microsoft.com/korea/technet/columns/outside/0502_09.asp • 리눅스 포유 네이버 카페 • http://cafe.naver.com/mystylelinux.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=43 • (Nfr)(security) • http://www.nfr.com • [서적] • 정보 보안 개론과 실습(네트워크 해킹과 보안) [양대일.이승재 공저] [한빛미디어] • 해킹과 보안 [노용환] [영진.com ] Honey pot

More Related