16 허니팟.

Slides:



Advertisements
Similar presentations
Apr. 25, 2013 Laboratory of Systems Medicine BASIC LINUX COMMANDS.
Advertisements

을지대학교 무선 네트워크 사용 방법 2010 년 06 월 01 일. 을지대학교 무선 네트워크 사용 방법 1. PC 무선랜 카드 활성화 및 체크 1 단계 : 시작 -> 설정 -> 네트워크 설정 2 단계 : 무선 네트워크 설정 선택 -> 마우스 버튼 오른쪽 클릭 -> 사용.
불특정 공격에 무너진 H 사 업무 시스템 서서히 저하 내부에서 원인 불명으로 네트워크의 속도가 서서히 저하 되는 현상이 발생 공격의 발생 핵심 장 비 서비스가 되다 되지 않는 현상이 심해지고 결국 핵심 장 비는 장애가 발생하게 됨 장비 장애 발생 핵심 장비 장애 전체.
7 장. 원격지에서 리눅스서버를 관리하자. 텔넷서버를 설치 / 운영한다. SSH 서버를 운영한다. VNC 서버를 설치 / 운영한다.
HTTPS Packet Capture Tutorial
오토베이스9 태그 편집기를 이용한 태그 편집 오토베이스 교육센터.
컴퓨터 운영체제의 역사 손용범.

정보 보안 개론과 실습 네트워크 해킹과 보안 3부 해킹 전 정보 획득 Chapter 10. 목록화.
Snort & Snorby.
네트워크 기술을 통한 현재와 미래 소개.
뇌를 자극하는 Windows Server 2012 R2
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
㈜디아이씨 SSLVPN 협력사 접속방법 2017년 4월.
Chapter 6. 리눅스 백도어 황 선 환.
1. Windows Server 2003의 역사 개인용 Windows의 발전 과정
3 장 OSI 기본 참조 모델 OSI : Open System Interconnection
할 수 있다! 네트워크 구축 + 활용 네트워크 구성도.
Windows Server 장. Windows Server 2008 개요.
MYSQL 설치.
1장. 실습 환경 구축.
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
뇌를 자극하는 Windows Server 2012 R2
18장. 방화벽 컴퓨터를 만들자.
Vsftpd 를 이용한 FTP service 와 samba 서버 구축
Team Project : SSL 2008/05/27 정보보호 응용 발표자 : 신용철.
5 IP 주소 추적.
임베디드 시스템 개론 크로스 플랫폼 설치 2일차 강의 자료 Embedded System Lab.
Chapter 17. 방화벽.
11 장 LAN 기본 개념과 Ethernet LAN
강 명 수 LINUX 설치 강 명 수
Matasploit의 소개와 사용법
8장. 원격지 시스템 관리하기.
                              데이터베이스 프로그래밍 (소프트웨어 개발 트랙)                               퍼스널 오라클 9i 인스톨.
Day-19(Tue_10.02) 이론적인 배경 Hypervisor(Type1) : 물리적인 자원을 추상화해서 관리해줌
침입 탐지 시스템 침입 탐지 시스템 침입 탐지 시스템의 구조 윈도우 침입 탐지 툴 리눅스 침입 탐지 툴 한빛미디어(주)
뇌를 자극하는 Windows Server 장. Windows Server 2008 개요.
3장. CentOS 리눅스 설치.
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
Chapter 03 Whois와 DNS 조사.
2015 운영체제 특강 수업 소개 Special Topics on Operating Systems
2장. 데이터베이스 관리 시스템 데이터베이스 관리 시스템의 등장 배경 데이터베이스 관리 시스템의 정의
IPython Notebook + Spark + TensorFlow on MacOS
5 IP 주소 추적.
뇌를 자극하는 Windows Server 장. 원격 접속 서버.
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
16 허니팟.
ASP.NET AJAX / AJAX Control Toolkit 응용 2008 컴퓨터공학실험( I )
네트워크 프로토콜.
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
KERBEROS.
-네트워크 관리 개요 및 SNMP 프로토콜 동작과정
리눅스 커널 프로그래밍 환경 구축 IT EXPERT 리눅스 커널 프로그래밍 Author : Byungki Kim
네트워크 환경 구축과 이미지 전송 호스트/타겟 통신 직렬 통신을 이용한 이미지 전송 수퍼 데몬 BOOTP 환경 구축
01. 개요 네트워크에 있는 컴퓨터와 그룹에 대한 NetBIOS 이름에 대응되는 IP 주소를 찾아주는 서비스
클러스터 시스템에서 효과적인 미디어 트랜스코딩 부하분산 정책
2장. 솔라리스10 설치. 2장. 솔라리스10 설치 Solaris 3. 솔라리스10 설치 후 설정하기 1. 텔넷 ( telnet ) 서비스 사용 SSH ( Secure Shell ) 서비스 사용 FTP ( File Transfer Protocol )서비스 사용 시스템.
 파일 아카이브와 압축 명령 익히기.
01. 분산 파일 시스템의 개요 네트워크에 분산된 파일을 사용자가 쉽게 접근하고 관리할 수 있게 해준다.
슬라이드 쇼의 설정 슬라이드 쇼의 실행 파일과 폴더의 관리 글꼴을 포함해서 저장 웹 페이지로 게시 압축 파일
프로그래밍 언어 학습을 위한 가상실습환경 창원대학교 이수현.
과제 4: Thread (5월 9일까지) 4장 연습문제 풀이
소리가 작으면 이어폰 사용 권장!.
Installation Guide.
1장 C 언어의 개요 C 언어의 역사와 기원 C 언어의 특징 프로그램 과정 C 프로그램 구조 C 프로그램 예제.
CCIT 네트워크 발표 정보보호학과 평문 사이트와 SSL 사이트, SSL strip과 데이터 변조를 이용한 로그인 취약점
엑셀 리포트를 웹 클라이언트에서 사용시 설정 방법
Windows XP Professional 장점
소리가 작으면 이어폰 사용 권장!.
소리가 작으면 이어폰 사용 권장!.
Presentation transcript:

16 허니팟

학습목표 내용 허니팟의 기능과 목적을 이해한다. 네트워크에서 허니팟의 위치와 구조를 이해한다. 허니팟의 실제 적용 사례를 이해한다. 내용 허니팟의 기능과 목적 허니팟의 구조 허니팟에서의 로그

허니팟의 기능과 목적 허니팟 사냥할 때 곰을 유인하기 위한 꿀단지처럼 해커를 유인해서 정보를 얻거나 잡으려고 설 치 유인 ○, 함정 ⅹ

허니팟의 기능과 목적 허니팟 1990년대 중반 미국 매사추세츠 공과 대학 교수 데이비드 클록(David Clock)이 처음 제안 1999년 썬 마이크로시스템즈의 컴퓨터 보안 전문가인 랜스 스피츠너(Lance Spitzner) 와 2002년 소프트웨어 제조회사 SAIC이 실제 프로젝트 시행 허니팟의 발전된 유형으로 허니넷(HoneyNet)이 있음 허니팟은 해커의 정보를 얻기 위한 하나의 개별 시스템. 허니넷은 허니팟을 포함한 네트워크 허니넷 프로젝트(http://www.honeynet.org/)가 내세우는 허니팟의 목적은 경각심 (Awareness), 정보(Information), 연구(Research) 허니팟은 새로운 공격에 대한 연구 목적뿐만 아니라 실제 공격이 일어날 때 공격을 회피 하기 위해서 설치하기도 함 허니팟이 공격자에 대한 효율적이고 빠른 대응을 하는 데 필요한 주요 기능은 정보 수집 과 시스템 제어 암호화된 정보를 수집할 수 없거나, 다른 기록들 때문에 혼란을 일으켜 정보 수집 기능 을 잃어버리는 허니팟은 그 기능을 다한다고 볼 수 없음 더 심각한 상황은 시스템의 제어권을 해커에게 모두 빼앗기는 경우로, 허니팟이 다음 공 격을 위한 교두보로 사용될 수 있음 → 시스템 제어는 매우 중요

허니팟의 기능과 목적 허니팟의 요건 해커에게 쉽게 노출된다. 쉽게 해킹이 가능한 것처럼 취약해 보인다. 시스템의 모든 구성 요소를 갖추고 있다. 시스템을 통과하는 모든 패킷을 감시한다. 시스템에 접속하는 모든 사람에 대해 관리자에게 알려준다.

허니팟의 구조 GEN-I 방화벽 안에 윈도우와 리눅스 허니팟을 설정하고, 스위칭 환경에서 로그 서버를 운영하 고 있다. GEN-I은 분당 5개 정도의 연결만 허용 자동화된 툴의 공격과 웜 공격에 대한 정보 수집에 좋은 성능을 보임 허니팟에서 시작될 수 있는DoS나 무차별적 스캐닝 공격을 막을 수 있음 방화벽을 설정할 때 로그 서버는 NAT 설정을 하지 않고 SSH 접근만 가능하도록 포트 포워딩을 이용해야 함 보통 방화벽으로 iptables 사용, 침입 탐지 시스템(IDS)은 Snort 이용

허니팟의 구조 Gen-II 2002년부터 설계되었으며, 2년 계획으로 연구 허니넷 센서(HoneyNet Sensor)로 Hogwash(호그와쉬)라는 2계층의 IDS 게이트웨이 가 추가로 설치 IDS 게이트웨이는 Snort를 이용해 공격으로 탐지되는 패킷을 2계층에서 차단 가능 라우팅 정보의 변경을 통한 접근 제어를 하지 않으며, 방화벽의 필터링 기능과 IDS의 침 입 탐지 기능을 결합한 것

허니팟의 구조 GEN-III 2003년부터 시작되었으며, 2005년 여름에 발표 기본 구조 등은 Gen-II와 같음 Gen-II에서 사용하던 Hogwash 대신 Roo(루)라는 허니월(HoneyWall)을 사용 Roo를 이용하여 데이터를 좀 더 효과적으로 수집하고 분석

실습 16-1 VMware 허니팟 설치하기 실습환경 【VMware 설치】 설치 마법사를 이용해 VMware 설치 • 설치 대상 시스템 : 윈도우 XP • 필요 프로그램 : VMware Workstation 6.0, 리눅스 페도라 12 실습환경 1

실습 16-1 VMware 허니팟 설치하기 【VMware에 가상 운영체제 설치】 VMware를 실행한 후 [New Virtual Machine] 메뉴 선택 가상 운영체제 환경과 버전 선택 2 3

실습 16-1 VMware 허니팟 설치하기 4 가상 운영체제의 이름과 설치 경로 선택 가상 운영체제의 네트워크 선택 5

실습 16-1 VMware 허니팟 설치하기 7 CD-ROM 설정과 ISO 이미지 선택 가상 운영체제 설치 8

허니팟에서의 로그 기본적인 허니팟에서의 로그 허니팟에서 가장 중요한 세 가지 요소는 Data Capture, Data Collection, Data Control 관리자의 요구에 맞는 상세한 로그를 남길 수 있어 로그 서버는 유닉스나 리눅스 사용 로그는 장치(Facility)와 레벨(Level)로 구분하여 설정 Facility는 로그를 남기는 프로그램을 의미하므로 각 장치가 특정 분야의 로그를 맡음 각 장치는 [표 16-2]와 같은 레벨 중 하나를 가짐

허니팟에서의 로그

허니팟에서의 로그

허니팟에서의 로그 기본적인 허니팟에서의 로그 일반 리눅스와 유닉스에서는 로그의 장치와 레벨을 /etc/syslog.conf 파일에서 설정 페도라 12에서는 /etc/rsyslog.conf 파일로 존재 ➊ 커널에 대한 모든 로그는 /dev/console로 보내게 되어 있으나, 주석 처리가 되어 있기 때문에 작동 하지 않는다. 주석을 제거하면, 이에 대한 로그를 터미널에서 확인할 수 있다. ➋ mail, cron 등 다양한 로그가 none 으로 설정되어 있다. 따라서 이에 대 한 로그는 남기지 않는다. ➌ 모든(*) 긴급한 비정상(emerg) 로그 는 모든(*) 경로로 로그를 남긴다. ➊ ➋ ➌

허니팟에서의 로그

실습 16-2 로그 서버 설치하기 실습환경 sysklogd 데몬 설치 1-1 sysklogd 압축 풀기 tar xvf sysklod-1.5.tar.gz 1-2 syslogd.c 작성 vi ./syslogd.c • 로그 시스템 : 리눅스 페도라 12 • 로그 서버 시스템 : 리눅스 페도라 12 • 필요 프로그램 : sysklogd-1.5.tar.gz 실습환경 1

실습 16-2 로그 서버 설치하기   syslogd 설치 ➊ make ➋ make install 로그 클라이언트 설정 : /etc/syslogd.conf 설정 /etc/syslogd.conf   3

실습 16-2 로그 서버 설치하기    /etc/hosts 설정 vi /etc/hosts rsyslogd 프로세스 중지 4 /etc/hosts 설정 vi /etc/hosts rsyslogd 프로세스 중지 ➊ ps -ef | grep syslog ➋ kill -9 968 ➌ ps -ef | grep syslog 5   

실습 16-2 로그 서버 설치하기   파일 이름을 변경한 sysklogd 프로세스 실행 ➊ cp ./syslogd /sbin/rsyslogd ➋ rsyslogd 로그 서버 설정 :/etc/services 설정   7