Honeynetと外部ネットワークの接続点に設置するHoneywallのインストールと設定を容易にするCD-ROMの紹介記事。これはカスタマイズが可能になっており,それゆえ当初の目的(Honeynetの一構成要素)以外にも稼働している正規のネットワークを不正行為から保護し、データを収集するためにも使われ始めているという話が書かれている。
The Honeywall CD-ROM,
George Chamales, The University of Texas at Austin,
IEEE Security & Privacy, pp.77--79, Vol.2, No.2, Mar-Apr 2004.
興味があったので,ちゃちゃっと訳してみました.なので、正確さに責任は持てません.あしからず.
■ The Honeywall CD-ROM
一年以上も前からHoneynetプロジェクトではCD-ROMを作成している.それは「Honeywall CD-ROM」と呼ばれており,起動可能なCD-ROMとなっており,Honeynetの管理センタとなる"honeywall"のインストールと設定を数分で完了できるようことを目的としたものである.
開発者の当初の意図は,その設置を容易にすることだったが,そのCD-ROMはカスタマイズ可能であり,ネットワーク保護のためにそれを使用することも可能になっている.
□ Second-Generation Honeywalls (第2世代 Honeywall)
honeywallとはhoneynetと外部ネットワークの接続点に設置されるシステムで,Gen II(Second Generation) honeynetの一構成要素である.honeywallには3つの目的がある.それはデータ収集,データ制御,自動警告通知である.
honeywallではすべての通信をログに記録する.その中にはfirewallの警告,不正侵入検知システムの警告,honeywallを通過する全通信パケットの記録などが含まれる.これらの情報収集は透過的に行われ,ネットワークの外部からでも内部からであっても,その存在を発見するのは困難な仕組みになっている.
不正侵入者はしばしば計算機に不正に侵入し,それを踏み台としてさらに不法行為を行おうとする.そのような悪用を防ぐために,GenII Honeypotは、侵入されたHoneypotからのデータ送信を制御するために階層的手法を用いている.Honeypotから外部のネットワークへの接続は制限された回数だけ可能になっている.HoneywallはまたIntrusion Prevention System(IPS)を使用し,不正なパケットの通過を通過しない(できない)ようにしている.
Honeynet環境では,外向けのネットワーク接続とsebekなどが取得する.計算機内での行動記録がhoneypotが侵入されたことを示す最初の兆候となる.自動化されたログ監視ツールがシステム管理者に疑わしい挙動があったことをポケットベルや電話,E-mailなどを使って警告する.Honeypot内でのイベントに迅速に対応することは,blackhat達がhoneypotを悪用するのを防ぎ,管理者に侵入された計算機を実践的に取り扱い可能にする.
□ The honeywall CD-ROM
Honeywallはシステム管理者にhoneynet環境を監視,対応するために必要な幅広いツール群の利用を要求する複雑なシステムである.Honeywallの設定を誤ると,honeynet活動において価値のある情報を失なったり,悪意を持ったクラッカーにhoneynet外ネットワークへの攻撃拠点として利用されたり,またはhoneywall自体が攻撃にさらされるといった危険を招くことになります.こういったシステムを導入し,それが意図した通りに動作していることを確認するには数日間は必要となる.
2003年初頭,ワシントン大学のDave Dittrichとhoneynet projectの仲間は,honeywallの構築を支援するツールの開発を始めました.一年間の活動の後,彼らはLive CD(An operating system on a disk) -- Honeywall CD-ROM -- を開発しました.これは,Gen II honeywallのインストールと設定作業を数分で完了できるようにしています.
□ Organization
Honeywall CD-ROMはLinuxベースのシステムをカスタマイズしたもので,Gen II Honeywallが行うデータ取得,制御,自動警報に必要なすべてのツールがCD-ROMに含まれている.これにより,システム管理者はツール群を見つけて,コンパイルしてそしてインストールする必要がなくなるわけである.
このCD-ROMを使って計算機を起動すると,それはあたかもAppliance(アプライアンス - 専用機器)のように動作する.すべてのツールやインタフェースはCD-ROM上から起動され,ハードディスクは設定を保存するためと,システムがオプションで生成するログを記録するためだけに使われる.この分離はハードディスクでより膨大な量のデータ保存を可能にし,ツールの設定ミスや改ざん,置きかえ等の可能性を減らすことになる.
ひとたびシステムが起動すると,管理者はCD-ROM内にあるGUIを使ってhoneywallのツールの設定を行うことができる.そのインタフェースは,システム管理者が種々の設定値を,手作業でそれぞれのファイルを書き換えることなく,より容易に設定できるようにしている.それらにはFirewallの接続制限数,IDSのルールセット,自動警報のためのE-mailアドレスなどが含まれる.管理インタフェースはまた,不正侵入が成功した時の対応を行うインタフェースになると同時に,ログや警報を集中管理でみることのできるインタフェースにもなっている.
設置をさらに簡単にするため,CD-ROMはすでに存在している設定ファイルを読むこともできる.また初回起動時にfloppy diskから読み込むこともできる.さらに,新しいhoneywallをオンラインで管理作業なしで起動することもできる.Honeywallには以下に挙げるようないくつかのツールが使われている.
○ Snort
よく知られた,オープンソースのIDSである.これは多くのsignatureデータを持ち,柔軟なplug-in構造を有している.Snortはhoneywallでネットワークを監視し,すべての通信トラフィックを記録するのに使われる.
○ Snort-Inline
Snortを使ったIPS(Intrusion Prevention System)で,honeywallではこれを不正な攻撃を防いだり,修正するために使用している.Honeynet ProjectのRob McMillenが現在維持管理をしているツールである.
○ Swatch
"Simple Watchdog"はログ監視のためのユーティリティである.これを使うことで,ユーザは種々のイベントに対応するよう設定することができる.Honeywall CD-ROMではこれを疑わしい行為に対する自動警報のために使用している
○ Iptables
これはLinuxでFirewallの構築と管理を支援するためのツールである.Honeywallではこれをhoneynetを出入りするネットワークトラフィックの制御するために使用するとともに,先進的な接続数制御を実現するために使用している.
○ GRSecurity
このツールは,Linuxにおいて役割ベースのアクセス制御(role-based access control),強制アクセス制御(mandatory access control),chroot制限,監査そしてアドレス空間の保護の機能をもたらすツールである.CD-ROMで提供されるカスタマイズされたLinuxにはこのツールがすでにインストールされ,設定済みになっている.これによってhoneywallシステムのホストベースの安全性が保たれるようになっている.
ここに用いられるツール群がまとめて記述されている.
これらがあわさって,Honeywall CD-ROMのデータ収集,制御,自動警報の機能が構成されている.
□ Customization
Honeywall CD-ROMの開発者達は,設置されているすべてのhoneynetに適したhoneywallを構築するのが困難なことは認識していた.そこでCD-ROMの柔軟性を増すために,彼らは個人や組織が自分達の要望や環境にあわせたカスタムCD-ROMを簡単に作成できるようにする処理を作成した.それがカスタマイズ処理である.この処理は,管理者がhoneynet向けだけではなく,実稼動のネットワークを保護するためにもこのCD-ROMを使えるようにする道を開くことにもなった.
○ Inline defense
Honeywallは外部の攻撃者から稼働中の内部ネットワークを保護するためのデータ制御機能を持っている.それは既存のFirewallと同様Address/Port/Protocolベースの制御のほかに,Firewallがデータ通信を許可しているサービスに対する特定の攻撃を防御するという仕組みも持っている.またデータ収集ユーティリティはデータを補足しているための,システム管理者にネットワーク通信の内容について有益な情報を与えることもできる.この種のデータは,日々の監視のためだけでなく後日の監査の際にも有用である.
○ Rapid response
Honeywall CD-ROMを侵入されるための"おとり"として実稼動のネットワークの外部側に設置することもできる.Honeywallは入出力される全てのネットワーク通信情報を記録しており,また,仮に不正侵入されたとしても,そこから外部への通信は制限されており,無制限に踏み台として利用し、外部へ攻撃ができるようにはなっていない.これらのことを侵入者に
知られることなくできるということは,実稼動のネットワークに害を与えることなく,不正侵入者を監視することができるということである.
また,大量に発生したワームや,新たな脆弱性が公表された時,管理者はHoneywall IPSを,まだパッチの当たっていない計算機群の外側に設置し,IPSのsignatureをその脆弱性やワーム用に更新しておく.するとHoneywall IPSはパッチの当たっていない脆弱な計算機群を保護することもできる.
○ Passive Monitoring
Honeywallは,稼働中のネットワークの全通信トラフィックを収集できるようなポートにIDSを接続することができないような場所でも利用可能である.Honeywallは、監視対象のネットワークと外のネットワークとの接続点で動作するため,そこを通過するトラフィックは,CD-ROM内のIDSやfirewallそしてpacket収集ツールを使ってログとして記録することができる.
Honeywall CD-ROMの開発者は、これらのツールの作成に非常に熱心だった,そしてhoneynetの設置において,最も複雑な部分の一つを大幅に簡単化した.このCD-ROMは開発が続けられ,honeynet技術とともに発展し続けていくだろう.プロジェクトメンバーはすでに次期バージョンの設計を行っている.詳細はhttp://honeynet.org/を参照して欲しい.
□ Reference
1. "Know Your Enemy: GenII Honeynets.", The Honeynet Project
Whitepapers, 2003. http://honeynet.org/papers/
2. B.McCarty, "The Honeynet Arms Race.", IEEE Security & Privacy, vol. 1, no. 6, p.79 -- 82, 2003.
[後日談]
ふと、思い立ってHoneynetのWebページを見に行ってみたら大々的(?)に宣伝されていました.
URLは、http://www.honeynet.org/tools/cdrom/です。InterfaceがX-windowを使わずConsoleベースのMenu型インタフェースだったのを見て「おぉ、X windowsが動作しないような環境での適用も見込んでいるんだな(余計なものは徹底的に排除、脆弱性を招き入れる可能性のあるものは徹底的に排除?)かな?と思いました.なお、KYEのWhitepaperも公開されていました.