· KLDP.org · KLDP.net · KLDP Wiki · KLDP BBS ·
Honeypot Background

번역 : 이상인, delpai at hotmail dot com

최근에 허니팟에 대해 공부하면서 번역해보았습니다. 번역이 매끄럽지 못한 부분도 많이있으니 고칠부분있으면 고쳐주세요 ^^;

-- delpai 2004-07-09 16:43:58



Honeypot Background

허니팟 배경

A honeypot is as a closely monitored computing resource that we intend to be probed, attacked, or compromised. The value of a honeypot is determined by the information that we can obtain from it. Monitoring the data that enters and leaves a honeypot lets us gather information that is not available to NIDS. For example, we can log the key strokes of an interactive session even if encryption is used to protect the network traffic. To detect malicious behavior, NIDS require signatures of known attacks and often fail to detect compromises that were unknown at the time it was deployed. On the other hand, honeypots can detect vulnerabilities that are not yet understood. Because a honeypot has no production value, any attempt to contact it is suspicious. Consequently, forensic analysis of data collected from honeypots is less likely to lead to false positives than data collected by NIDS.

Honeypots can run any operating system and any number of services. The configured services determine the vectors available to an adversary for compromising or probing the system.

A high-interaction honeypot simulates all aspects of an operating system. A low-interaction honeypot simulates only some parts, for example the network stack. This is what Honeyd does.

허니팟은 조사하고, 공격하거나 침해하기 위한 모니터링 컴퓨팅 리소스이다. 허니팟의 가치는 그것으로부터 획득할수 있는 정보로 정한다. 모니터링한 데이터를 입력하고 유효하지 않은 IDS로 정보들을 모으게 한다. 예를 들어, 우리는 네트워크 트래픽을 보호하기 위해 영향을 미치는 세션의 키스트로크를 로그로 남길수 있다. 나쁜 행동을 찾아내기 위해, NIDS는 알려진 공격의 신호를 요구한다. 이런 배치는 알려지지 않은 침해는 찾아내지 못한다. 이에 반해서 허니팟은 알려지지 않은 취약점을 찾아낼 수 있다. 왜냐하면 허니팟은 상품적 가치가 아닌 접근할려는 모든 시도를 의심하기 때문이다. 당연히 허니팟으로부터 데이터를 수집하는 포렌식 분석은 NIDS에 의해 데이터를 수집하는 것보다 실패가능성을 줄일 수 있다. (False Positive: 정상적인 traffic 을 IDS가 attack이라 간주하여 alert을 발생시키는 것을 나타낸다)

허니팟은 아무 운영체제와 여러개의 서비스에서 운영될수 있다. 설정된 서비스는 침해하거나 시스템을 조사하는 공격자의 방향을 정한다.

높은 상호작용을 하는 허니팟은 운영체제의 모든 내용을 흉내낼 수 있다. 낮은 상호작용을 하는 허니팟은 네트워크 스택 같은것을 위해 몇 개의 부분만 흉내낸다. 이것이 Honeyd이 하는일이다.

High-Interaction Honeypots

A high-interaction honeypot can be compromised completely, allowing an adversary to gain full access to the system and use it to launch further network attacks.

High-Interaction Honeypots

높은 상호작용을 하는 허니팟은 완벽히 시스템에 모든 접근을 얻은 공격자를 허락하고, 게다가 네트워크 공격을 가하는 침해할수 있다.

Low-Interaction Honeypots

In contrast, low-interaction honeypots simulate only services that cannot be exploited to get complete access to the honeypot. Low-interaction honeypots are more limited, but they are useful to gather information at a higher level, e.g., learn about network probes or worm activity. They can also be used to analyze spammers or for active countermeasures against worms. We also differentiate between physical and virtual honeypots.

Low-Interaction Honeypots

대조적으로, 낮은 상호작용을 하는 허니팟은 허니팟에 모든 접근을 얻을수 있으나 이용할수는 없다. 낮은 상호작용을 하는 허니팟은 제한적이나 높은 레벨의 정보를 모을때 유용하다. 예를들면, 네트워크 조사나 웜 활동에 대해 배운다. 그것들은 또한 스패머나 웜의 활동을 분석할 수 있다. 또한 물리적인 허니팟과 가상 허니팟을 구분할 수 있다.

A physical honeypot is a real machine on the network with its own IP address.

물리적인 허니팟은 자신의 IP 주소로 네트워크에 연결되어있는 실제 시스템이다.

A virtual honeypot is simulated by another machine that responds to network traffic sent to the virtual honeypot.

가상 허니팟은 네트워크 트래픽을 가상 허니팟으로 보내어 응답하는 것을 다른 시스템에 흉내낼 수 있다.

When gathering information about network attacks or probes, the number of deployed honeypots influences the amount and accuracy of the collected data. A good example is measuring the activity of HTTP based worms. We can identify these worms only after they complete a TCP handshake and send their payload.

네트워크 공격이나 조사에 대한 정보를 모을 때 허니팟의 배치와 모은 데이터의 정확도에 영향을 미친다. 좋은 예로 HTTP 기반의 웜의 활동의 측적이 있다. TCP handshake를 마치고 payload 보낸 후의 웜을 확인할 수 있다.

However, most of their connection requests will go unanswered because they contact randomly chosen IP addresses. A honeypot can capture the worm payload by configuring it to function as a web server. The more honeypots we deploy the more likely one of them is contacted by a worm.

그러나 랜덤으로 선택한 IP 주소로 접근하기 때문에 응답하지 않은 연결요구가 대부분이다. 허니팟은 웹서버처럼 기능을 설정하여 worm payload를 캡쳐 할 수 있다. 많은 허니팟은 웜에 의해 접근하게 배치한다.

Physical versus Virtual Honeypots

물리적인 허니팟 대 가상 허니팟

Physical honeypots are often high-interaction, so allowing the system to be compromised completely, they are expensive to install and maintain. For large address spaces, it is impractical or impossible to deploy a physical honeypot for each IP address. In that case, we need to deploy virtual honeypots. You can find more information on Honeypots in Lance Spitzner's paper.

물리적인 허니팟은 완벽한 침해를 허락하기에 종종 높은 상호작용을 한다. 큰 주소 공간을 위해 실행할 수 없거나 각각 IP 주소 를 위해 물리적인 허니팟을 배치하는게 불가능하다. 이와같은 경우 우리는 가상 허니팟을 배치하는게 필요하다. 당신은 Lance Spitzner's paper에서 허니팟에 대한 더 많은 정보를 찾을 수 있다.



sponsored by andamiro
sponsored by cdnetworks
sponsored by HP

Valid XHTML 1.0! Valid CSS! powered by MoniWiki
last modified 2004-12-04 19:18:31
Processing time 0.0055 sec