호스트 설정

[그림 1]과 같이 방호 호스트로서, 방화벽이나 라우터에 의해 인터넷으로부터 한단계 지켜지는 허니팟일지더라도 보안을 강화할 필요가 있다. 당신이 수집하는 데이터의 신뢰를 얻기 위해, 당신은 내외부 침입으로부터 당신의 허니팟이 안전한지 확인해야 한다. 최소한, 당신은 모든 보안 패치의 적용, 스테이트풀(Stateful) 방화벽의 설치, 보안 정책의 설정, 감사의 사용, 제한된 계정 권한, 그리고 불필요한 모든 네트워크 서비스를 중지시켜야 한다. 만약 당신이 시스템의 보안 강화에 친숙하지 않다면, 필자는 NSA(National Security Agency) 보안 구성 가이드의 참고를 권장한다. (이 가이드를 찾기 위한 정보는 Learning Path 박스를 살펴보자.) 한가지 마지막 팁: 보안 강화 작업은 침입 테스트없이는 완료되지 않는다. Nmap이나 두가지 이상의 취약점 스캐너와 같은 보안 툴을 이용하여, 공인 네트워크에 시스템을 연결하기 전 발견되는 이슈를 수정했는지 확인한다. 이 기사에서 언급하는 Nmap과 다른 툴에 대한 정보를 얻기 위해서는 [표 1]을 살펴보라.




만약 당신이 허니팟으로부터 수집된 증거를 기소의 목적으로 사용할 것이라면 호스트 보안을 계획하는 동안 이를 상기해야 한다. 법정으로부터 증거 요구를 처리하기 위하여 주의깊게 모든 보안 측정을 고려하고, 문서화할 필요가 있다. 특히 서로서로 기록을 남기는 호스트와 가상 세션의 가능성에 주의를 기울여야 한다.

호스트의 보안을 강화한 후, 작업에 필요하고, 허니팟의 차후 법률적 분석을 위한 추가 응용 프로그램과 유틸리티를 설치하고 싶을 것이다. 최소한, 당신은 IDS(Intrusion Detection System)와 네트워크 모니터, 침입-테스팅 툴, 그리고 과학적 분석 툴이 필요할 것이다.

IDS는 가상 세션으로 가능한 침투의 고급 경고를 제공한다. 당신은 다양한 IDS 유형을 선택할 수 있다. 일반적으로 Snort와 같은 모든 호스트 기반 IDS가 사용가능하다. 비록, 기본적인 규칙과 사인으로 IDS를 실행할 수 있지만, 잘못된 경고의 감소와 허니팟 사용량과 구축을 더욱 반영할 수 있는 규칙을 생성하고자 할 것이다. IDS 가 가상 세션으로 들어오고 나가는 모든 트래칙을 캡쳐하기 위해, 첫번째로부터 트래픽을 듣기 위해 두번째 잠복 네트워크 카드의 사용을 설정해야 한다.

당신은 또한 잠재적인 공격과 개조된 기존 공격을 알아내기 위해 네트워크 모니터가 필요할 것이다. 필자는 항상 허니팟이 실제 가동에서부터 오프라인이 될때까지, 호스트와 가상 세션의 모든 인바운드와 아웃바운드 트래픽을 캡쳐한다. 패킷 추적을 살펴보기 위해 많은 시간이 필요하므로, 당신이 선호하는 모니터를 설치한다. 비록 윈도우의 많은 버전에서 추가적인 네트워크 모니터링 툴이 제공되지만, 이는 제한적이고, 트래픽내에 세션을 분석하기 위해 사용하는 것은 매우 난해하다. 만약 당신이 특정 네트워크 모니터와 친숙하지 않다면, Ethereal의 사용을 고려해보자.

침입 테스팅 도구로 필자는 일반적으로 윈도우 서버 2003 리소스 킷 도구, 마이크로소프트 윈도우 시큐리티 리소스 킷 CD-ROM, 그리고 Sysinternals로부터 유틸리티를 선택하고 설치한다. 필자는 또한 적어도 하나의 취약점 스캐너와 Nmap을 설치한다. 과학적 분석 도구로 필자는 헥스 편집기와 두가지 리소스킷의 유틸리티를 사용한다. 필자는 또한 허니팟으로부터 증거를 모으고 분석하기 위한 특정 유틸리티의 모음을 기록하고 있다.