제목: Honey Pots와 침입탐지(David Klug) 
발표일: 2000년 9월 13일 
원문: http://www.sans.org/infosecFAQ/intrusion/honeypots.htm 
번역: http://www.wowhacker.com 

[개요] 
이 논문은 하니팟에 대한 주제로 쓰여진 것이다. 이 논문은 하니팟이란 무엇이고, 어떻게 작동하는지, 어떻게 하니팟을 구현하는지, 여러 형태의 상용 하니팟과 그것들의 가치, 그리고 그것을 사용하는데 있어 몇 가지 법적인 문제들을 포함한 하니팟의 많은 측면들을 다룰 것이다. 

[하니팟이란 무엇인가] 
하니팟이란 침입탐지에 사용되는 가장 새로운 방법들 중의 하나이다. 하니팟의 배경 아이디어는 쉽게 접근할 수 있는 취약점을 가진 것처럼 보이거나 확고하지 않은 운영체계를 가진 “유혹” 시스템을 설치하는 것이다. 유혹 시스템은 조직의 제품 서버와 유사한 방법으로 설치되고, 진짜처럼 보이는 많은 가짜 파일, 디렉토리, 그리고 다른 정보를 탑재하고 있어야 한다. 하니팟이 합법적인 파일들을 가진 서버처럼 보이도록 만들어 중요한 정보에 해커가 접근권한을 획득한 것처럼 믿도록 유도한다. 하니팟이 침입자와 그의 공격 소스에 대한 정보를 수집하는 동안 침입자는 그 서버의 데이터를 수집하는 시도를 하고 있을 것이다. 이상적으로 하니팟은 공격이 이루어지기 전에 공격자가 덫에 걸리도록 하는 환경을 제공한다. 미끼는 침입자를 잡기 위한 것이 아니라 그들의 동태를 살피고, 그들의 동태로부터 뭔가를 배우고, 어떻게 침입자가 시스템을 악용하고, 그리고 어떻게 이것을 막을 것인가를 알아내기 위해 설치된다.   

[하니팟의 작동 원리] 
하니팟은 하니팟으로 들어오는 모든 트래픽은 의심스러운 것으로 생각되어야 한다는 생각에서 작동된다. 앞에서 언급된 것처럼 하니팟은 일반적으로 진짜(real) 서버, 운영체계, 그리고 실제인 것처럼 보이는 데이터에 기반하고 있다. 주된 차이점들 중의 하나는 실제(actual) 서버와의 관계에서 서버의 위치이다. 유인 서버는 실제로 DMZ의 어딘가에 보통 위치한다. 이것은 내부 네트워크가 해커에 노출되지 않도록 하기 위한 것이다. 하니팟은 침입자가 하니팟을 사용하는 동안 침입자를 감시하거나 또는 가끔 통제를 통해 운영된다. 이것은 그 공격이 네트워크 내부이든 외부에서 온 것이든 간에 유인 시스템의 위치에 따라 이루어진다. 하니팟은 보통 침입자의 활동을 감시하고, 로그 파일을 저장하고, 프로세스가 시작된 후 컴파일, 파일 추가, 삭제, 변경, 그리고 심지어는 키 스트로커와 같은 이벤트도 기록한다. 그와 같은 자료를 수집함으로써 하니팟은 전체적인 보안 시스템을 개선시키기 위해 작동될 수 있다. 만약 충분한 자료가 수집되면 그것은 심각한 상황을 해결하기 위해 사용될 수도 있다. 수집된 자료를 활용하지 않을 경우에는 해커들의 기술 수준, 의도를 측정하고, 어떤 경우에는 그들의 신분을 확인하기 위해 사용될 수도 있다. 대체적으로 하니팟은 회사가 공격에 대해 대비하고 수집된 정보를 통해 배운 각종 공격에 대응하는 준비를 하는데 도움이 된다. 

[하니팟들의 통합] 
하니팟을 네트워크에 통합시키는 것은 얼마나 그것이 효과적일 것인가에 관한 아주 중요한 요소이다. 제품 서버에 타깃을 맞추고 있는 침입자를 유인하기 위해 하니팟을 제품 서버 가까이에 설치해야 한다. 하나의 그런 가능성은 제품 서버에 비생산 서비스를 모방하는 것이다. 방화벽이나 업스트림 라우터에 포트 리다이렉션을 사용함으로써 하니팟 서비스가 제품 서버에 실행되고 있는 것처럼 보일 것이다. 이것은 업스트림 라우터나 방화벽이 포트/서비스 리다이렉션을 수행할 수 있는 것을 요구한다. 이 경우 업스트림 장치는 실제 목적지 IP 주소를 숨기는데 도움이 되도록 하니팟의 주소 전환을 명백하게 통제하는 것의 책임이 있다. 이것의 한 예는 만약 어떤 제품을 실행시킨다면 웹서버, 텔넷, 그리고 SMTP가 하니팟으로 리다이렉트 된다. 이 서비스들은 제품 시스템으로 접근되어서는 안되기 때문에 하니팟은 직접적인 경고, 또는 최소한으로 로그를 보내어야 한다. 위에서 제시된 시나리오에서 단지 비제품 서비스에 대한 제품 시스템에 대해 검사와 부정 수단을 사용하는 것을 탐지할 수 있으며, 그래서 제품 서버에 부정 수단을 사용하는 것에 대해 경고를 받지 못할 것이다. 왜냐하면 그 서비스는 하니팟으로 리다이렉트되지 않을 것이기 때문이다. 서비스 에물레이션의 한계를 깨닫는 것도 역시 중요하다. 침입탐지 시스템은 그것이 적절하게 에물레이트 하기 위해 악용 이전에 취약점에 대해 알고 있어야 한다. 
하니팟을 배치하는 다른 한 방법은 제품 서버 사이에 그것을 위치시키는 것이다. 만약 제품 서버가 .9, .10, .11 그리고 0.13의 주소를 가진다면 하니팟을 0.12의 주소를 부여하는 것이 이상적이다. 이것의 배경 아이디어는 취약한 서비스를 알아보기 위해 네트워크 전 범위를 “sweep scan"하는 침입자를 잡기 위한 것이다. 이 방법은 침입자가 쉽게 제품 시스템에 초점을 맞출 수 있어 유인 시스템을 무용지물로 만들기 때문에 항상 효과적인 것은 아니다. 


[하니팟 구축] 
하니팟을 구축할 때 그것이 NT든 Linux든, 솔라리스든 어떤 운영체계를 로딩함으로써 시작해야 한다. 침입자에 대한 정보를 수집하기 위해 쉽게 공략 당할 수 있도록 하는 것과 같이 시스템에 특별한 조치는 취하지 마라. 시스템에 변경이 적게 가해지면 가해질수록 침입자가 시스템에 대한 의심스러운 어떤 것을 발견할 기회는 적어진다. 
    하니팟을 설치하는 과정을 통해 고려해야할 점들이 몇 가지 있다. 침입자의 움직임을 어떻게 추적할 것인가, 어떻게 공격에 대해 경고를 받고, 당신의 네트워크에 있는 제품 서버를 해커가 장악하는 것을 멈추게 할 것인가, 등등. 이것에 대한 하나의 단순한 해결책은 하니팟을 방화벽 뒤에 그것 자체의 서브넷에 하니팟을 위치시키는 것이다. 이렇게 함으로써 트래픽을 로그할 수 있고, 이것은 침입자의 움직임을 추적하는데 있어 첫 번째 레이어가 된다. 
    대부분의 방화벽은 경고 능력을 가지고 있으며, 그래서 당신은 유인 시스템이 장악당했을 때 경고해주는 경고 시스템을 설치할 수 있어야 한다. 마지막으로 들어오고 나가는 트래픽을 통제할 수 있어야 한다. 이 경우에 당신은 모든 인터넷 트래픽이 들어오는 것을 허용할 수 있지만 외부로 나가는 트래픽을 제한할 수 있으며, 그래서 침입자는 당신의 위치에서 다른 시스템을 공격할 수는 없다.   
   시스템 로그를 남기는 것은 하니팟을 사용하는 것의 주요 부분이다. 왜냐하면 그 로그는 귀중한 데이터로 가득차 있기 때문이다. 일반적으로 말해서, 하니팟에 로그 정보를 남기는 것은 좋은 생각이 아니다. 그 이유는 침입자가 그 로그를 지우거나 변경할 수 있기 때문이다. 만약 당신이 침입자의 움직임을 추적하길 원한다면 다른 서버에 그 침입자의 활동을 기록하는 것이 중요한가의 이유이다. 스니퍼를 사용하는 것도 좋은 생각이다. 그것은 당신이 하니팟으로 들어오고 나가는 트래픽을 감시할 수 있도록 해주기 때문이다. 스니퍼의 큰 장점은 키스트로커나 심지어 스크린샷까지도 기록하며, 침입자가 무엇을 하고 있고, 어떻게 그것을 하고 있는지 보는 것을 더 쉽게 만들기 때문이다. 편안한 상황에서 당신은 침입자를 몰아내고, 사용된 취약점을 해결할 수 있다. 공격이 있은 후 시스템을 다시 구축하는 것 보다 취약점을 해결하는 것이 좋은 생각이다. 이것은 새롭고 다른 취약점에 대해 더 많은 것을 당신이 배울 수 있는 기회를 제공한다. 


[상용 하니팟과 도움이 되는 소프트웨어] 
? CyberCop Sting (by Network Associates) 

? BackOfficer Friendly (by NFR) 
   
? Tripwire 

이것에 대해서는 각 사이트 참고바람. 


[하니팟의 법적인 측면들] 
이 글을 쓰고 있는 이 시간 하니팟에 대한 법적인 전례가 없다. 어떤 사람들은 정당하지 못한, 덫으로 사용되는 “툴”이라고 느끼고, 또 다른 사람들은 나쁜 사람을 잡는 좋은 방법이라고 느낀다. 주목되어야 할 몇 가지 반향이 있다. 만약에 고의적으로 침입자를 하니팟에 오도록 유인한다면 침입자에게 유인 시스템에 접근할 수 있는 퍼미션도 열어둔다. 그래서 당신의 제품 서버에도 하니팟과 마찬가지로 최소한의 보안 제한을 가져야 한다. 하니팟이 공략 당한 후 그것은 다른 시스템을 장악하기 위한 디딤돌로 사용될 수 있다. 이 경우 만약 당신이 시스템이 장악 당하고, 적절한 방식으로 통제되지 않았다는 것을 알고 있다면 그것은 엄청난 소홀함으로 간주될 수 있다. 왜냐하면 취약한 시스템을 설치함으로써 당신은 간접적으로 해커의 행동을 허용하거나 촉진시키는 것이다. 하니팟은 방어 탐지 툴로서 사용되어야 하며, 침입자를 유인하기 위한 접근방식을 취해서는 안된다. 

[참고자료] 
Hartley, Bruce. "Honeypots: A New Dimension to Intrusion Detection" August 2000 
URL: http://www.advisor.com/MIS 

Schwartau, Winn. "Lying to hackers is okay by me: Part 9 of 9" 7 July 1999. 
URL: http://www.nwfusion.com/newsletters/sec/0705sec2.html?nf 

Spitzner, Lance "To Build a Honey pot" 7 June 2000 
URL: http://www.enteract.com/~lspitz/honeypot.html 

Bandy, Phil "What is a honey pot? Why do I need one? 1999 
URL: http://www.hackzone.ru/koi8/nsp/info/ids/IDFAQ/honeypot2.htm 

Forristal, Jeff "Luring Killer Bees With Honey" 21 August 2000 
URL: http://www.networkcomputing.com/1116/1116ws3.html