허니팟 (honey pot)

개요

• 컴퓨터 프로그램에 침입한 스팸과 컴퓨터바이러스, 크래커를 탐지하는 가상컴퓨터이다. 침입자를 속이는 최신 침입탐지기법으로 마치 실제로 공격을 당하는 것처럼 보이게 하여 크래커를 추적하고 정보를 수집하는 역할을 한다. 크래커를 유인하는 함정을 꿀단지에 비유하여 Honey pot이란 명칭이 붙여지게 되었다.
• 허니팟(honeypot)은 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템을 의미한다. 예를 들어, 네트워크 상에 특정 컴퓨터를 연결해 두고 해당 컴퓨터에 중요한 정보가 있는 것 처럼 꾸며두면, 공격자가 해당 컴퓨터를 크래킹하기 위해 시도하는 것을 탐지할 수 있다.
• 허니팟은 네트워크에 공격이 있는지를 알아채는 도구로 사용할 수 있으며, 또한 스팸 메일과 같이 기계적인 공격의 패턴을 파악하는 데에도 사용이 가능하다.
• 허니팟의 발전된 유형으로  Honey net이 있으며 보통 허니팟 이란 해커의 정보를 얻기 위한 하나의 개별 시스템을 뜻하고, 허니넷은 허니팟을 포함한 하나의 네트워크를 의미한다

목적

• 경각심(Awareness),정보(Information),연구(Research) 해커를 유인해서 정보를 얻거나 잡기 위함
  • 정보의 수집과 시스템 제어의 기능을 충실히 수행할 수 있어야함
• 공격의 회피
  • 중요한 시스템을 보호하기 위한 위장서버의 역할

요건

• 쉽게 해커에게 노출되어야 한다.
• 쉽게 해킹이 가능한 것처럼 취약해 보여야 한다.
• 시스템의 모든 구성 요소를 갖추고 있어야 한다.
• 시스템을 통과하는 모든 패킷을 감시해야 한다.
• 시스템에 접속하는 모든 사람에 대해 관리자에게 알려줘야 한다.

구조

• 위치
  • ① 방화벽 앞 – IDS(침입 탐지 시스템)와 마찬가지로 Honey Pot의 공격으로 인한 내부 네트워크의 위험도는 증가하지 않는다. 하지만 원하지 않는 수많은 정보와 가치가 없는 정보들을 너무 많이 수집하게 되면서 효율성이 떨어진다.
  •   ② 방화벽 내부 - 효율성은 높으나 내부 네트워크에 대한 위험도가 커진다. 또한 Honey Pot은 대부분 많은 서비스를 제공하는 것처럼 설정되기 때문에 방화벽의 패킷 필터링 규칙에 많은 영향을 주게 되며, 이는 결국 내부 네트워크의 보안 수준을 떨어뜨린다.
  •   ③ DMZ 내 -설치에 많은 시간이 걸리고, 관리자가 많은 노력을 들여야 하며 Honey Pot을 DMZ 내에 위치시킬 때 중요한 것은 다른 서버와의 연결을 확실하게 막아야 한다는 것이다.