하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

Virtual PC로 Honeypot을 만들자 (1)
등록일 :
2005.10.25
공격자가 올 것이다.

(역자주 : 허니팟 - 실제로 자료를 가진 호스트인것 처럼 침입자를 속이는 최신 침입탐지기법으로 허니팟 시스템을 이용하면, 공격하거나 침입하는 해커를 유인할 수 있음)

허니팟(Honeypot)은 잠재적 공격자에 대한 조기 경고 제공, 보안 전략의 결점 파악, 그리고 조직 전체의 보안 의식을 향상시키기 위해 점차 사용되고 있다. 허니팟은 웹 서버, 메일 서버, 데이터베이스 서버, 응용 프로그램 서버, 그리고 방화벽까지도 포함하는 다양한 내, 외부 장비를 시뮬레이트할 수 있다. 소프트웨어 개발 관리자인 필자는 팀에서 개발한 방어해야할 소프트웨어와 운영체제의 취약점을 알기 위해 정기적으로 허니팟을 사용한다.

less..

허니팟의 설치와 운영에는 네트워크 툴과 컴퓨터 법률 수사에 대한 몇몇 전문가뿐만 아니라 법적 고려 사항도 포함된다. 필자가 소개하는 허니팟에 대한 설치와 운영은, 법적, 도덕적 이슈와 네트워킹과 컴퓨터 과학수사에 대해 어느정도 지식이 있다고 가정한다. 필자는 종종 허니팟을 만들기 위해 Microsoft Virtual PC 2004를 이용한다. 비록 많은 사람들이 Virtual PC보다 VMware가 성능이 더 낫다고 주장하지만 필자는 좀더 나은 가격(Virtual PC는 129불, VMWare는 199불)에 더 나은 이유를 두고 싶다.


[그림 1] 일반적인 허니팟 배포


[그림 2] 두 개의 네트워크 카드 사용


하드웨어와 운영체제의 선택

허니팟 하드웨어 요구 사항의 첫째 고려 사항은 실행하려는 동시 가상 세션의 숫자이다. 일반적으로 한 세션만 필요한 독립 허니팟은 DMZ 방어 시험이나 잠재적 공격에 대한 경고 정보를 미리 모으는 경우엔 충분하다. 그러나 만약 당신의 목적이 내부 전체 네트워크의 보안을 테스트하려고 한다면 당신은 [그림 1]에서 보여지는 다수의 동시 가상 세션이 요구되는 허니넷(Honeynet)이 필요할 것이다.

한 컴퓨터에서 실행되는 동시 가상 세션의 숫자는 시스템 CPU 성능과 메모리에 제한을 받는다. Virtual PC는 1GHz 또는 그 이상의 CPU와 CD-ROM 드라이브를 가진 윈도우 XP 프로페셔널과 윈도우 2000 프로페셔널 시스템에서 실행된다. 일반적으로 가상 세션당 32메가 ~ 256메가의 메모리와 50메가 ~ 4기가바이트의 디스크 공간이 시스템 필요하다. 따라서, 4~5개의 동시 가상 세션을 실행하기 위해 1기가 메모리와 40기가 하드 드라이브를 가진 3GHz 또는 그이상의 펜티엄 4 프로세서(P4)가 필요할 수 있다.

당신은 두개의 네트워크 카드가 필요할 것이다. 당신의 가상 세션은 물리적 네트워크 카드를 가지지 않으므로 호스트와 첫번째 물리적 네트워크 카드를 공유할 필요가 있을 것이다. 공유를 하기 위해 Virtual PC는 가상 네트워크 아답터에 대한 장치 드라이버를 제공한다. 허니팟 설치는 또한 호스트에 Virtual PC 드라이버와 같은, 입출입 패킷을 거부 또는 수정할 네트워크-레벨 장치 드라이버를 구현하기 위해 추가 소프트웨어(예를 들어 데스크탑 방화벽, 네트워크 모니터)를 설치해야 한다. 결론적으로 허니팟으로 들어오고 나가는 트래픽의 정확한 패킷 추적을 위해서는 두번째 네트워크 카드로부터 트래픽을 캡쳐하는 것이 가장 좋다. [그림 2]와 같이 당신은 허브에 두번째 네트워크 카드를 꽂고, DMZ(Demilitarized Zone) 네트워크의 공인 주소로 첫번째 인터페이스를 설정한다. 그리고 DMZ 네트워크(라우팅 되지 않는 주소가 가장 이상적임)가 아닌 사설 주소로 두번째 인터페이스를 설정한다. 당신은 두번째 네트워크 아답터를 첫번째 아답타로부터 들어오는 트래픽을 살펴 보기 위한 Promiscuous 모드로 설정한다.

필자는 또한 읽기 전용 미디어에 법적 데이터를 보관하기 위해 DVD-RW 드라이브를 권장한다. 가상 허니팟을 설치하기 전, 필자는 차후 법적 분석을 위한 증거를 보관하기 위해, 하드 디스크의 이미지를 복사하는데 많은 시간을 보내야 했다. 하드 디스크와 메모리의 내용이 호스트 컴퓨터의 물리적 드라이브내 파일로만 존재하므로(파일 이외는 없음), 가상 세계에서 이러한 작업은 간단해질 수 있다. 만약 당신이 동적 가상 디스크를 만든다고 하였다면, 가상 디스크의 파일은 거의 대부분의 윈도우 운영체제에서 평균 3기가~4기가정도 일것이다. 그러므로, 읽기 전용 미디어에 이 데이터를 보관하려면, 당신은 DVD-RW 드라이브를 원할 것이다.

마지막으로, 호스트 시스템의 운영체제를 선택해야 한다. Virtual PC 2004는 윈도우 XP 프로페셔널과 윈도우 2000만 지원한다. 그러나 실제로 윈도우 서버 2003(비록 설치시 경고는 나타나지만)에서도 실행할 수 있다. 운영체제 선택의 첫번째 고려사항은 보안을 위한 레벨이다. 허니팟 호스트는 공인 네트워크에 연결될 것이므로, 방호 호스트(Bastion Host)로 보안 강화하는 것이 필수적이다. 비록 세가지 운영체제 모두가 보안을 강화하기에 적당하지만, 필자는 추가 보안 기능을 제공하는 호스트 플랫폼으로, 윈도우 2000위에 윈도우 2003이나 XP를 권장한다.


  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top