Honeynets in Universities Deploying a Honeynet at an Academic Institution. Honeynet Project ハニーネットは情報保証(Infomation Assurance)という観点から有用な研究用のツールとして紹介されてきた。公私を問わず、多くのセキュリティに関わる研究者や団体は現在、戦略や技術、ハッカーコミュニティの動きを考えるために、ハニーネットを導入し情報を集めている。The Georgia Institute of Technology (Georgia Tech)のハニーネットのメンバーは2002年夏から、ハッカーの情報を集めるために、またキャンパス内のネットワークの安全性を保つために、ハニーネットを内部ネットワークに導入している。この文書は教育機関でハニーネットを運用するための経験と、この経験から得られた教訓を共有する目的で書かれている。この文書は既にKYE: Honeynetsを読んでよく理解し、ハニーネットの考え方に精通している人を対象としている。 有名な大学のネットワークのような巨大なネットワークでハニーネットを運用することは研究にとって多大な利益をもたらす。私たちの経験から、二つの主要な利益が挙げられる。まず一つ目は、教育用もしくは研究用として集めたデータをコンピュータセキュリティに関係ある研究をしている者が研究に使用することができるという点である。教授や学生が授業や研究の実験としてハニーネットを使用することも可能である。実際、最近Ph.Dを取得したある学生はハニーネットを研究に使用していた。二つ目は、ハニーネットを研究所内のセキュリティツールとして使用できるということである。これは、私たちがハニーネットを運用した上でもっとも効果をあげた点である。ハニーネットを運用することによって、研究所内のセキュリティに関する態度が劇的に向上した。例えば、私たちのハニーネットはGA Techのネットワーク内で165以上の脆弱性を発見し、どういった脆弱性があるのか、どうして脆弱なのか、誰が脆弱なのかといった多くの情報を提供することができた。GA Techにどれほどハニーネットが有用な情報を提供してくれたかの詳細は後述する。 Getting That Bad Boy Approved 最初はハニーネットを研究目的で構築できるように要求していた。ハニーネットは様々な研究の材料となる。例えば、データベース、分散処理、データ解析、エージェント技術、ネットワークの基礎や応用に関するもの等である。さらに、ハニーネットは研究のために様々なデータを提供してくれる。しかしながら、ハニーネットは異常検知に使用できるということが分かってきて、私たちはすぐにハニーネットを大学のセキュリティの一環として使用できると認識した。ハニーネットの利益は研究の域を超えて、システムやセキュリティ管理者のツールとして使用できる。詳細は後述するが、Georgia Techでハニーネットを運用したところサイバーセキュリティに対する大学の意識が非常に高まった。 二つ目の必要なことはセキュリティやプライバシーに関する正当性を考えることである。これはネットワーク管理者や大学の管理者にとって根本的な問題であり、ハニーネットを運用することを拒否するためにしばしば言われることである。ハニーネットを大学で運用するためにネットワーク管理者に許可をとることは最も重要であるが、ネットワーク管理者のなかにはハニーネットを運用することを渋る人もいる。こういう人たちはハニーネットを運用することによってシステムの脆弱性が増すのではないかと恐れているのである。Georgia Techでは反対のことが言えるということを発見した。ハニーネットは怪しいトラフィックがキャンパス内を流れていないか解析する機会が増える。データコントロールの方針が守られているなら、ハニーネットのマシーンが学内全体のマシーンの危険を軽減する。ハニーネットのデータをよく監視し、怪しい事件をネットワーク管理者にたびたびレポートすれば、ハニーネットを構築することに対して抵抗が少なくなるだろう。私たちの場合、ネットワーク管理者(Gerogia Techオフィス、情報技術担当のテクニカルプロジェクトディレクター)が積極的に協力してくれて、The use of a Honeynet to Detect Exploited Systems across Large Enterprise Networksという論文を共著した。この論文では学内ネットワークを安全に保つのにハニーネットを使用する利点について、詳しい議論の内容が書かれている。 ネットワークのスタッフが技術的セキュリティを引き受ける必要性に加えて、大学の管理者がハニーネットを運用する許可をださなくてはならない。 管理者はまず合法性とプライバシーについて考えるだろう。もっとも良い解決方法は正当な手続きを示した運用ポリシーを明文化することである。 よく言われる法的な質問は、ハニーネットを設置することで盗聴行為をされるのではないか、ということである。この質問に対して米国司法省が回答していて、ハニーネットは盗聴行為の例外と Provider Exception (System Protection) の項で定めている。つぎに考えられるのがおとりの問題である。ハニーネットを運用していて、人々をスキャンや侵入に駆り立てる魅力がなかったら おとりを置く利点はほとんどない。最後の問題はネットワーク上のデータのプライバシーの問題である。キャッシュカードの番号、ユーザID/パスワード、社会保障番号、そのほかの多くのデータといった情報はハニーネットを用いると簡単に捕らえることができる。 これらのデータの適切な取り扱いが重要である。 ネットワーク管理者は学内ネットワークを安全に保つためにどのような合法的な手段を取るのかを知っているし、学内ネットワークのトラフィックを監視するために何を考えるべきかも知っているだろう。もし、ネットワーク管理者も、あなた自身もこのことについて分からなかったら大学の法務部に聞く必要がある。Georgia Techの法務部はハニーネットの運用を決定した。ハニーネットはGeorgia Techの学内ネットワークで変位的な、もしくは悪意のあるトラフィックを正当な手段で監視することになった。Georgia Techの情報技術オフィス(OIT)はハニーネットを構築する許可を法務部から得た。OITはハニーネットを構築し監視する権限をえる代わりにGeorgia Techの学内ネットワークを守ることになった。Georgia Techにはいくつかのガイドラインがあり、これをはニーネットを運用するために少し変更しなくてはならなかった。
Technology We Used
Maintaining and Monitoring our Honeynet 攻撃が起こった場合、私たちはハニーネットで収集されたデータを1時間毎40時間にわたって解析する。これは非常に時間がかかるが得るものが非常に大きい。私たちは現在この解析作業をGeorgia Techの内部で分業しており、この研究に携わるすべての人が脆弱性レポートに貢献している。レポートはハニーネット内で起こったすべての脆弱性に対して作成される。学内のコンピュータからハニーネットに対する怪しい行為に対してもレポートが作成される。 これらのレポートはOITの個人、教授、個人ネットワーク管理者、そしてGeorgia Tech内でハニーネットに興味をもっている人たちへ送られる。 Our Honeynet Proves its Worth
他の多くの研究所と同じように、私たちもいくつかの理由から大きなターゲットである。
当初の目的であり、私たちのハニーネットの利益の一つは、研究への使用である。Georgia Techでハニーネットは学生のOSやセキュリティの研究に使われている。ハニーネットはPh.Dの研究などとして使用された。 ある研究ではハニーネットによって収集された新しい、もしくはすでに存在するルートキットを解析し最新のルートキット検知方法を考案した。 私たちはハニーネットによって得られた、以前には見られなかったルートキットに関する論文を発表した。私たちはこのルートキットの特徴をみつけ、このルートキットを検知するシグネチャを作った。また、GPLツールの作者たちにアドバイスと欠点を教えて、彼らのツールの改善に寄与した。 また、ハニーネットとダークネット(未使用のIPアドレスを使用してトラフィックを見る研究)という二つのタイプのIDSを繋ぐための共同研究が進められている。Georgia Techではハニーネットは様々な研究に使用されており、現在進められているコンピュータやネットワークセキュリティの研究に大きく貢献している。 私たちはまた、ハニーネットは卓越した教育ツールとして使えることを発見した。ハニーネットを使用する事で独自の学習プログラムの一環としてハニーネットを監視する学生は実践的な経験をえる事ができる。この実践的な体験は学生に多くの機会を与える。攻撃とルートキットを勉強することによって学生はドキュメントの書き方とどのように、いつ攻撃がおこったのかという記録の書き方とルートキットの解析、すなわち、どのように対処するか、どのような動きをするかといったことを覚える。ハニーネットのメンバーの一員として、Georgia Techは四半期毎に私たちのネットワークでどういったデータが取れたかを報告している。ハニーネットを独自の学習として監視している学生はこのレポートを脆弱性発見のレポートと同様に制作しなくてはいけない。ハニーネットのデータはネットワークセキュリティの授業で学生にトラッフィク解析の練習としてetherealやtcpdumpのようなツールを使うのに使用できる。授業や他の団体に対してハニーネットに関するプレゼンテーションも行っている。カリフォルニア大学サンタバーバラ校(UCSB)主催の2003 'Capture the Flag' ネットワークセキュリティ研究会のSnort-inlineのセッションでGeorgia Techのチームが発表を行った。 私たちが最も驚いた事はハニーネットを検知に用いることによる非常に大きな利益がでるということである。私たちのハニーネットはGeorgia Techの内部ネットワークで165を超える脆弱性を発見した。 私たちのハニーネットは非常に誤検知が少ないので、様々な場合で使いやすく、以前からの検知技術よりも効果的である。ハニーネットによる検知の最大の利点は詳細な情報を得ることができる点である。私たちはパスワードやリモートIPアドレス、どのようにしてハッカーが脆弱性を利用するかといった情報を得ることができる。ハニーネットの運用を始めた初期にはGeorgia Techのシステムのパスワードの脆弱性をハッカーによって狙われていたことを突き止めた。このシステムはハニーネットを含む内部のシステムに攻撃者が接続するのに使われていた。私たちのハニーポットはすぐにこの攻撃者を特定し、攻撃者がシステムに侵入するために使っていたツールや戦術を知る事ができた。攻撃者は後に接続する為にハニーネットにバックドアを仕掛けていた。このシステムには脆弱性があることを私たちは知っていたが、ハッカーの行動を追跡するために稼働を続けた。数日後、このシステムの脆弱性を利用してハッカーがバックドアポートへの接続しGrogia Tech内の他のコンピュータに接続した。私たちは直ちにGeorgia Tech情報技術事務(OIT) に連絡し、OITの職員はこのコンピュータを解析するためにオフラインにした。しかし、OITの職員はこのマシーンから脆弱性を発見できなかった。このマシーンはエクスプロイットによって侵入されたのではなくてパスワードが脆弱であったため侵入されたことがわかった。ハッカーは何らかの方法でこのコンピュータのパスワードを盗んだとOITの職員は推測した。 ハッカーはブルートフォース技術をつかってこのコンピュータのパスワードを推測したと考えられる。ハッカーはおそらくこのハッカーが設置したダミーのウェブサイトからユーザー名とパスワードを無意識の利用者(ソーシャルエンジニアリング)から得たのだと考えられる。OITの職員はこの利用者にパスワードをより安全なものに変更し、ウェブサイトのアカウントを取るときはコンピュータのパスワードと違うパスワードを使うように指導を行った。OITの職員は、この脆弱性は現在のセキュリティ技術では検知するのが非常に難しいと認めた。私たちのGEN I ハニーネットは技術のあるハッカーが攻撃する大概の脆弱性に対して検知を行うことができる。これからOIT職員はハニーネットの運営を積極的にサポートしてくれるようになった。2002年夏にハニーネットを構築して以来165件以上の脆弱性をハニーポットは検知している。 Lessons Learned
Conclusion ![]() |