Projects‎ > ‎Information Security‎ > ‎Honeypot‎ > ‎Whitepapers‎ > ‎

eeyore

Know Your Enemy:
Honeywall CDROM Eeyore

Bootable GenII Honeynet Gateway

Honeynet Project
http://www.honeynet.org
Last Modified: 07 May, 2004
 
Translated by ASANUMA Kaku (kaku [at] vogue.is.uec.ac.jp)
Original document is here

The Honeywall CDROM Eeyore は第2世代のhoneywallを構築し、起動するのに必要なツールを全て含んだブータブルCDである。CDROMはLINUXの機能を削ったものに基づいており、装置として使われるように設計されている(CDはhoneywallを動かすのに必要なツールしか含んでいない)。カスタマイズされた環境は、詳しいユーザーがCDROMにhoneynetの外でCDROM上のツールを使用可能にすることができる。このCDROMの1stバージョンである「Eeyore」はベータ版である。

このドキュメントは、Honeywall CDROMのコンセプトやデザインについての紹介となるだろう。後半では、データ解析やカスタマイズ、分散型データ処理方式の機能など、さらに発展したトピックスを紹介する。私たちはこのドキュメントを"living document"と考えており、CDROMと一緒に発展していき、最新の情報を含むようにする。読者はKYE: HoneynetsKYE: GenII Honeynetsにあるようなhoneynetの基礎を、読んで理解していることを仮定する。 さらにCDROMにはシステムのユーザーインターフェイス、内部のレイアウト、カーネル構成、カスタマイズの機能など、さらに詳しい技術的なドキュメントが入っている。

目標 
Honeywall CDROMは、honeynetをより高度に配置するためのプラットフォームを作る際の多くの課題を減らすだろう。CDROMはLinux LiveCDに非常に特有の機能を付け、縮小化されたものである。それは独立したOSというよりは、より装置として機能するように設計されている。CDROMにより作られるゲートウェイはシステムが機能するのに必要なツールのみを組み入れる。後で議論されるカスタマイズの機能は、新しいCDROMのイメージが追加または変更された機能を含むようにする。

Honeywall CDROMは以下のように設計されている:

  • 配置、維持が簡単である
    通例、適切に構成されたhoneynetは、インストールして設定し、テストするのに多くの時間を必要とした。honeynetゲートウェイは、データコントロール、データキャプチャと警告の自動化をするための、いくつかの異なるツールを組み入れなければならない。これらのツールはそれぞれダウンロード、コンパイル、インストールされる必要があり、honeynet環境のために修正されたそれら固有の設定ファイルもまた必要である。一旦終了したら、これら全てのツールが一緒にスムーズに機能したことを確実にするためにテストを行う必要がある。システムはシンプルなユーザーインターフェイスにより構成され維持される。より安定した配置のために、CDROMはフロッピーディスク上のファイルから存在する構成の変化を読み込むことができる。一旦システムをセットアップすれば、管理インターフェイス上でSSHを使用しリモートで管理することができる。
  • カスタマイズ可能である
    「代表的な」honeynetの配置というものはない。honeynetは異なる種類のhoneypotを含むことができ、複数の場合は多くの異なる方法で設定できる。CDROMはhoneynetで使われるほとんどの一般のツールを含むが、特有のhoneynetの環境に対しては機能性に欠けるかもしれない。Honeywallを動かすほとんどのツールはCDROMの中にあり、一旦CDROMを焼いてしまうと新機能を加えることは非常に手がかかる。カスタマイゼーション環境はそれらをCDROMに焼くに、ユーザーがISOイメージで機能を追加または修正できるように開発された。カスタマイゼーションツールを使うと、新しいISOイメージは素早く簡単に作ることが出来る。
  • ネットワークセキュリティプラットホーム
    Snort IDS, snort-inline IPS, iptables bridging firewallのようなHoneywallのツールは、終端システムを守るためにプロダクションネットワーク上で使うことが出来る。CDROMの柔軟性とカスタマイゼーションは、従来のhoneynetの他のもののためにそれを使うことを可能にする。生産環境のCDROMの異なるいくつかの使用法は、本論文で後ほど議論される。

Honeywall CDROM Eeyore の構造 
Honeywall CDROM Eeyore は、 William SaluskyによるFIRE forensics CDをベースとするLinux LiveCDである。我々がLinux LiveCDをベースを選んだのは、それがLinuxを非常に縮小化したものであり、フォレンジック(データキャプチャや解析)に重点が置かれており、そして何人かのメンバーは既にそれに慣れていたからである。我々はツールと、それらに関連するHoneywallの機能を発揮するのに必要なライブラリーだけを含むCDROMをカスタマイズした。CDROMはちょうど50メガバイトを超える小さな容量である。CDROMのライセンスはGPLとBSDの組み合わせに基づいている。

LinuxのブータブルCDは一般的にDebianインストーラのように、システムインストールや、Knoppixのようにホストのハードドライブを変更せずにOSを動作させるのに使われる。一旦コピーが行われれば、CDは取り出すことができ、システムはハードウェアから直接起動する。2つめのケースは、全てのファイルがホストCDに残っていて、一時的なファイルシステムがホストマシーンのRAMに作られる。その一時的なファイルシステムは、適切に起動するためにファイル(viの一時ファイルやいくつかのデーモンで使われるラックファイル)を作る必要があるプログラムを有効にするために必要である。ファイルは書き込み専用のCDROMに書き換えることは出来ないので、CDROMでロードされるOSはホストRAMの疑似ファイルシステムを使う。新規、または修正されたファイルはCDROM上のファイルシステムに存在するが、実際はRAMに記憶される。ホストを再起動する時、これらの変更は無効になる。

装置として、Honeywall CDROMはこれら両方の機能性を組み合わせる。起動時にこのCDROMはOSのほとんどをRAMにロードする。それらは全てのバイナリファイルやライブラリを含むルートファイルシステムに位置するファイルである( /usr/lib, その他)。これらのファイルはハードディスクにはコピーされず、それらのどのような変更もシステムを再起動すると消えてしまう。システムコンフィグレーションファイルやログなど、ユーザーがシステムの再起動の間そのまま持続させておきたいファイルはたくさんある。もしこれの全部が毎回RAMにロードされるならば、それは起動時に失われるだろう。このCDROMは、ユーザーのコンピュータのハードディスクの /hw というディレクトリに、全ての持続するデータを記憶する。このディレクトリは、Honeywallに使われる構成の変化を含む /home/etc/var,/conf の内容のためのサブディレクトリを持っている。RAMファイルシステムからのシンボリックリンクは、これらのディレクトリを標準のルートディレクトリに反映させるのに用いられる。

このアプローチは CDROM 上の重要なツールが偶然変更されたり、消去されたりする機会を最小限にする一方、ホストのハードディスクがより多くのログデータを記憶できるようにする。RAM ファイルシステムと、それが動かすメモリ集約型アプリケーションのために、ユーザーは最低でも 256MB の RAM のシステムを使わなければならない。必要なハードディスクの容量は、そのシステムが属するネットワークと周波数に依存し、どのログ消されたか、またはどこか他の場所に記憶されたかによるが、我々は少なくとも 30GB のハードディスクを利用することを薦める。現時点では IDE ドライブのみに対応しており、SCSI には対応していない。このCDROM は初期化時に全てのドライブを消すので、重要なデータがハードディスク上にないようにする。Honeywall システムに必要なプロセッサのスピードもまたネットワークのトラフィックの量に依存するが、最低 Pentium 3クラスのシステムを推奨する。ゲートウェイとして使うために少なくとも2枚のネットワークインターフェイスカードが必要であり、3枚目があれば遠隔管理者アクセスのために使うことが出来る。現時点で対応している NIC は 3Com 3c59xとIntel eepro100 だけである。より詳しいシステムの要件については Honeywall CDROM Eeyore に記載されている。 

搭載した機能 
CDROM がホストシステム上で初めて起動されるとき、オペレーターには Honeywall のユーザインターフェイスが示される。この UI はインタラクティブなウィンドウとメニューを作るためにダイアログを使う一連の bash scripts に基づいている。ほとんど全ての Honeywall の構成と管理者機能は UI により操作することが出来る。そのオプションがハイライトされる時、各々のメニュー・オプションの説明はスクリーンの左下の角に表示される。ユーザーは今まで通り、Linux のコマンドライン環境と、多くの標準的な GNU ユーティリティを使うことが出来る。

Honeywall の初期設定は、全て UI を通して行うことが出来る。初期設定においてホストマシンのハードディスクはフォーマットされ、フォルダが作られ、ネットワーク情報が入力され、そしてデータコントロール、データキャプチャ、アラートの自動化などを扱う詳細な変数が設定される。3つめのインターフェイスは遠隔管理のために設定することが出来る。ファイアウォールのルールは、どんなホスト/ネットワークも管理インターフェイスにつなぐこと出来るように制御するために設定することが出来る。一旦設定が完了したら、システムは再起動後され、Honeywall は有効になる。我々は、ユーザーがより早くインストールを計画することができるように、初期設定のドキュメントを入れておいた。設定のためにメニュー使うことの他の方法は、設定ファイルをあらかじめ作って、フロッピーからアクセス可能にすることである。

ユーザインターフェイスで設定された変数は、ホストのハードディスクの /hw/conf ディレクトリに個々のファイルとして保存される。例えば、ユーザのゲートウェイが、レイヤ2のブリッジとして、またはレイヤ3のゲートウェイとして動作させるのかに関する変数は、/hw/conf/HwMODE にある。またアラートのために使う e-mail アドレスは /hw/conf/HwALERT_EMAIL にある。これらの変数はシステムを動かすために必要な各々のツールを設定するために、 Honeywall 上のスクリプトによって使われる。そのスクリプトはそれらの変数のうちの一つへの変化を有効にするために、リロードされなければならない。このCDROMのメニューには、/etc にあるhoneywall.conf という一つのファイルに全ての変数を出力するオプションがある。このファイルは Honeywall 自身には使われず、それは設定ファイルを一つのシステムからもう一つのシステムへ移すため、または事前に作られたコンフィグファイルを作るための唯一の手段である。ユーザーインターフェイスには、動作しているシステム上で honeywall.conf ファイルの入出力ができるユーティリティがある。初期設定の時、設定をフロッピーから入力することが出来る。

データ制御
Honeywall CDROMは2つの主要なデータコントロールの方法を含んでいる。それらは iptables による外部へのコネクションの帯域制限と、snort-inline 侵入防御システムによるものである。帯域制限するファイアウォールは rc.firewall script に基づいており、各々のハニーポットから単位時間に送ることの出来るデータ量の上限を設定することが出来る。 限度は、TCPの場合では外部コネクション、UDP,ICMP,その他(攻撃者が、IPV4内のIPV6のような異なるプロトコルを使ったかどうか発見し、ハニーネットにデータを送るためのカテゴリー)に対してはパケットの数に基づいている。それぞれの限度は秒、分、時間、日単位で設定することが出来る。ファイアウォールに許可されている外部へのパケットは、snort-inlineに送られる。snort-inlineは、Snort侵入検知システムをベースとする侵入防御システムであり、the Honeynet ProjectのRob McMillenによって管理されている。それは改良されたSnortのルールを使って、悪意のあるトラフィックを発見し、そのトラフィックに対して行動をとることが出来る。snort-inlineはHoneywall上で、既知の攻撃を切断、無効、拒否することが出来る3つの異なるデフォルトのルールセットを使うように設定することが出来る。ファイアウォールのスクリプトと snort-inline のルールは /etc ディレクトリにある。それらは個々のハニーネットの必要性にあわせて簡単に変更することができ、変更点はハードディスクに記憶される。両者とも解析や警報に使うことが出来るような詳細なログを出力する。

データキャプチャ
2つめの要件は、攻撃者がこのシステムを見つけるチャンスを最小限にする一方で、全ての攻撃者の行動を保存することである。ハニーネット上での行動はいくつかのツールによって記録される。まず、ファイアウォールは全てのインバウンド、アウトバウンドのコネクションのログを /var/log/messages に記録する。これは何が起こっているのかの概要を知るのに都合が良い。次に、デフォルトでは Snort のプロセスは全てのネットワークの動作と、内部ネットワークインターフェイス(デフォルトでは eth1 )での全てのパケットペイロードを保存する。これには全ての Sebek の動作も含んでおり、それは UDP パケットにより送られる。第三に、追加の Snort のプロセスは内部インターフェイス上で動作し、完全で素早い警告を作り出す。さらに Snort-inline は、外部への動作を検出し処理をする時もまたログを作り出す。全ての Snort と snort-inline の動作は /var/log/snort/$DAY に記録されている。$DAY の部分は、その日の数値である。我々はファイル名を(年月日)と表すことにした。例えば 2005 年 7 月 13 日のデータは /var/log/snort/20050713 に保存される。この全てはCDROMによって自動的に設定される。

手動で設定することが必要な唯一のものは、Sebekのロギングである。 具体的には、どのポートや IP に Sebek のクライアントがログインしているか、またユーザーがファイアウォールによって記録された全ての Sebek のパケットが欲しいかどうかである( Sebek はログを多く吐き、ユーザーのファイアウォールのログをいっぱいにする)。多分ユーザーは、まず Sebek の動作をファイアウォールのログに記録して、Sebek が機能していることを確かめた後で、そのロギングを無効にしたいと思うだろう。一旦 Honeywall が Sebek の動作をSnort pcap ファイルとして保存したら、ユーザは CDROM に入っているSebek の sebeksniff と sbdump.plユーティリティを使って、手動で Sebek のパケットを取り出さなければならない。より進んだデータ解析ツールは現在開発中で、今後 CDROM のバージョンに入れられるだろう。ゲートウェイの後にある全てのハニーポットにおいて、 Sebek クライアントソフトウェアは手動でインストールしなければならない。Sebek についてより詳しくはKYE: Sebekを参照されたい。

警告の自動化
もう一つの要件はハニーポットに障害がある時、警告を作り出すことが可能なことである。現時点では、警告はクリアテキストの e-mail を使って実行されている。Swatch すなわち Simple WATCHer は /var/log/messages の全てのインバウンドとアウトバウンドの動作をモニターする。もしアウトバウンドのコネクションが発見されれば、警告は作り出され e-mail が送信される。警告が送られる e-mail アドレスは UI で設定することが出来る。もし Honeywall がレイヤ2のブリッジモード(デフォルト)で動いている時、3枚目の管理インターフェイス(eth2)は警告を送るのに使われなければならない。管理インターフェイスからemailの警告を送る時、ユーザーは Honeywall のファイアウォールを、そのインターフェイスからのアウトバウンドの TCP/25 を許可するように設定しなければならない。 デフォルトでは、Swatch は以下のイベントに基づいて警告を出す。

  • ハニーネットからアウトバウンドコネクションがある
  • アウトバウンドの帯域制限がハニーポットの設定値に達する
このアプローチの問題点は、制限された機能である;それは攻撃者がアウトバウンドコネクションを始めに行うと仮定している。より高機能な警告はインバウンドコネクションの増加に基づくものかもしれない。例えば、確立された接続に10パケット以上ある時、あるいは 1k バイト以上ある時など。我々はまた IPtables での一つの問題点を確認した。現在のバージョンで、IPtables は状態を正しく追跡することが出来ない。これは IPtables のアウトバウンドコネクションのルールが、ある TCP のインバウンドコネクションによって起動させられている可能性があることを意味する。この結果としてIPtables のアウトバウンドコネクションが記録され、 Swatch により誤った警告が作り出されてしまう。これはバグとして記録され、我々はそれを調べている。

ホストベースのセキュリティ
どのソフトウェアでも、セキュリティは常に問題である。ゲートウェイ自体を危険から守るために、いくつかのステップがとられている。まず、デフォルトで、ゲートウェイの管理インターフェイスに対するインバウンドやアウトバウンドのいかなるトラフィックも拒否するように設定されている、制限の多いファイアウォールがゲートウェイに設置されている。次に、我々は可能な場合は必ず least privilege mode と chroot jails でのプロセスのを動作を試みる。第3にHoneywall CDROM は現在3つの異なる Linux のカーネルに含まれる。

  1. 2.4.X PaX (default)
  2. 2.4.X grsecurity HIGH 2.X
  3. 2.4.X generic
修正されたカーネルは、より高度なアクセスコントロールと、CDROM上で動作しているプロセスに対するスタックプロテクションを提供する。我々は現在、全てのシステム・バイナリとライブラリを ProPolice に組み込むことに取り組んでいる。最後に、我々は全ての他のプロセスをモニターするためにmonit を使い、もしそれらが失敗していれば再起動する。このCDROMはベータバージョンであるのを覚えておき、バグや問題があれば我々の bug server に報告していただきたい。安全な Honeywall CDROM Eeyore を動作する最善の方法は、一日7時間はシステムを監視することである。

アップデートとカスタマイゼーション 
ブータブルCDでの課題は変化がないことである。ユーザーはCDROMに入っているものは何でも得ることが出来る。時々Honeywallをアップグレードするか、または自分の環境に合わせてカスタマイズするか、どちらかの方法でHoneywallを変化させなければならない。我々はこのCDROMに両者を可能にする機能を作った。まずは更新である。Honeywallに新しい機能が追加されたり、脆弱性が対処されたらユーザーはhoneywallを更新しなければならない。我々はアップグレードをできるだけシンプルにしようとした。アップグレードは、最新のisoイメージをダウンロードしてCDRに焼いて、それから新しいCDROMを起動することだけで済むようにするべきである。CDROMが全ての最新のバイナリ、ライブラリ、カーネルを保持する一方で、ハードディスク上の全ての継続するファイル(設定ファイルやログなど)は触れないでおくべきである。これはアップグレードをシンプルにし、最新で最良のファイルは全てCDROM上にあるので、起動時にそれらをRAMにロードする。しかし、時々、我々はハードディスク上(主として /etc)にある設定ファイルやスタートアップスクリプト、例えば Snort のルールセットや設定ファイルのようなファイルをアップグレードしなければならないかもしれない。これはもう少し難しい。これが起こると、起動してすぐに新しいCDROMは全ての /etc にあるファイルをチェックし、最新のファイルの既知のデータベースと比較して、MD5チェックサムを行う。もしファイルが一致しなければ、それは初めてバックアップされ、新しいとみなされたファイルが上書きされる。もし /etc の中に、ユーザーが修正したり自動でバックアップしたくないファイルがある場合は、それらのファイルを/etc/noupgradeに追加しておく。ユーザーは以前のアップグレードを後見すれだろう。全てのアップグレードファイルは /var/log/upgrade に記録される。完全ではないが、この方法は成功する(我々はこのCDROMがベータ版であることを述べた)。[注:このアップグレードの方法やカスタマイゼーションは問題が起こる可能性がある。カスタマイゼーションサイトにはより確実なアップグレード方法がある。それは将来のリリースで統合されると考慮されている。]

第2の、そしてより効果的な機能はカスタマイゼーションである。現在、CDROM はユーザーが CDROM を自分の環境に合わせて設定することが出来る。これは主に IP アドレス、ホストネーム、Snort-Inline の有効化などの変数を設定することを意味する。しかしながら、ユーザーはその他に何を望むだろうか。例えば SSH のキーの追加、ブートプロセスの修正、新しいカーネルやバイナリの追加、ディレクトリ構造変更などが挙げられるであろう。カスタマイゼーションはそれらを可能にする。ユーザーは一般的な Honeywall CDROM の iso イメージをダウンロードし、そのイメージを修正し(ファイルの追加、削除を含む)、CDROM を焼く。これは、ユーザーが求めている自分の環境に正確なイメージを作り出すことを可能にする。これに関する最終的な目標の一つは、組織が配布する環境のために独自のisoイメージを作ることが出来るようにすることである。例えば、あなたが100個のハニーネットを自分の組織に配置したいと仮定する。そのカスタマイゼーションで、あなたは一人の人に100枚のカスタマイズされ全て設定済みで準備の出来ている CDROM を作らせることが出来るかもしれない。これらの100個の iso イメージは、各々の団体からダウンロードされ CDROM に焼かれて、起動する準備がされる。カスタマイゼーションは非常に効果的であり、ユーザーが自分のニーズに合わせてCDROMを作ることができるようにする。カスタマイゼーションについては Dave Dittrich のサイトでより詳しく学ぶことが出来る。

配置のシナリオ 
我々は特定のタイプの配置を想定して、 CDROM を設計した。現在の Honeywall CDROM のリリースはスタンドアロンのハニーネットを実装するために設計されている。これは、多くの初期設定、監視、維持はシステムのローカルでされることを意味する。ユーザは SSH で遠隔管理をする事が出来るが、現在の UI の機能がいくぶん制限するかもしれない。Honeywall CDROM の構造は KYE: GenII Honeynets で概説されているもの同じである。具体的には、ハニーネットのアーキテクチャで見られる配置である。そこであなたは、ハニーネットのネットワークから正規ネットワークを隔離し、レイヤ2のブリッジとして配置されている Honeywall ゲートウェイを見るだろう。Honeywall でのデフォルトのインターフェイスのレイアウトは:

  • eth0: 正規ネットワークに面する外部インターフェイス
  • eth1: ハニーポットに面する内部インターフェイス。このインターフェイスを Snort のプロセスは監視し、ここで Sebek のパケットが保存され記録される。
  • eth2: このインターフェイスはオプションで、遠隔管理に使われる。ブリッジの配置では、IPスタックを持つ唯一のインターフェイスである。
Honeywallとして使われることに加え、Honeywall CDROMで使われる多くのツール、IPS,IDS,ファイアウォールなどは、正規ネットワークを安全にし防御するために使うことが出来る。 カスタマイゼーションの機能に加え、素早い配置と設定が非ハニーネット環境に適した Honeywall を作る。例は以下のとおりである:
  • ネットワークディフェンス:
    ハニーネットのデータコントロールの中心として、Honeywall はハニーネットの外側のホストを危険になったハニーポットからの攻撃を防ぐために設計された。データコントロールのツールは外界から正規のシステムを守るために、そのフィールドで使うことが出来る。Honeywall の、帯域制限するファイアウォールを作るために使われるスクリプトは、iptables の莫大なルールのセットとオプションを最大限に活用することが出来るように、変更が可能である。CDROM の IPS である Snort-inline はそれ自身で使うか、または既知のインバウンドの攻撃を切断するためにファイアウォールと一緒に使うことができる。IPSのルールはSnort IDSのルールセットをわずかに変更した形式がベースとなっている。新しい Snort のシグネチャは Honeywall が最新の攻撃を防ぐことができるように、素早く簡単に組み込むことが出来る。
  • リアルタイムフォレンジック:
    Honeywall のデータキャプチャとデータコントロールの機能は、管理者にハニーネットに出入りするネットワークトラフィックについて出来るだけ多くの情報を提供するために設計された。プロダクションサーバーが危うい可能性のあるイベントでは、Honeywall CDROMを、分析のためにオフラインにする必要なしにホストの動作をモニターするために、ホストと外部との間に素早く配置するとよい。Honeywallがある環境では、全てのサーバへのトラフィックは、ハッカーに監視していることを気づかれることなくモニターすることが出来る。Snort IDS と Argus flow analyzer レベルの高いネットワークトラフィックの調査を可能にし、full capture modeでのSnortは解析のために全てのパケットを保存し調査するために使うことが出来る。Honeywall の IPS やファイアウォールは、他のインバウンドの攻撃を防ぎ、プロダクションシステムから送られるアウトバウンドの攻撃を封じるために使われる。
  • トラフィックモニタリング:
    Honeywall のパッシブなネットワークコンポーネントは、プロダクションシステムでのトラフィックをモニターするのに使われる。Snort IDS, Argus monitor, iptables firewall (in log-only mode) はネットワークの状態の統計を集め、疑わしいトラフィックを監視することが出来る。CDROM のインライン機能は、タップやスパニングポートからトラフィックを監視できない場所でのネットワークやホストの監視を理想的にする。 Swatch モニターは、Honeywall によって記録されたネットワーク上のどのような動作も管理者に警告を出す設定にすることが出来る(例えば Snort exploit response alertなど)。

警告 
我々の関心の一つは、この技術や複雑な問題を理解していない人々でも、この技術を使うかもしれないということである。もし、あなたがhoneynetを導入することによりどのようなトラブルがあり得るのかをまだ学んだり理解したりしていないのなら、まだhoneynetを使い始める準備はできていない。あなたは被害を受けて下流責任を問われるかもしれないし、また攻撃者があなたのhoneynetを発見して、その情報を搾取するかもしれない。また他人のプライバシーを侵害して、州や連邦国家の電子プライバシーに関する法規により、起訴や民事訴訟を受ける可能性もある。

Honeywall CDROMは、ハニーネットの設置や維持に必要な技術を減らすことはなく、それを設定する時間を減らすだけである。ハニーネットのオペレーターはハニーネットでのイベントを理解し対応するために、ネットワークやセキュリティに関するレベルの高い技術を持っていなければならない。ハニーネット技術は完全ではない。使われているデータコントロール技術は限界が知られており、我々が設定したデータコントロール方法を避ける方法もある。この CDROM を設置する人は誰でも、危険が伴うことを認識しておく必要がある。より深い理解のために KYE: Honeynets を参照されたい。

ハニーネットの専門分野での顕著な成功は、ここ数年にわたっていくつかあった。どのケースでも複雑なハニーネットは、ネットワークセキュリティやハニーネットの技術を完全に理解し、非常に熟練した個人により監視された。一つの例は、Georgia Tech チームによる業績である。どのようなプロダクションの配置でも、始める前に関係する個人がTCP/IPネットワーキング、コンピュータとネットワークフォレンジックの複雑さに対して不安がないと感じて、ネットワークでのイベントを監視したり反応したりするのに必要な時間とリソースを持っていることが肝心である。あなたがまだファイアウォールやIDSセンサについて理解しようとしている段階では、このCDROMはあなたのためのものではない。

まとめ 
Honeywall CDROM (Eeyore) の最初の公開は、第2世代のハニーネットを素早く設定し配置するために必要なツールを提供することを意味する。Honeynet ProjectとHoneynet Research Alliance のメンバーは、Honeywall CDROM に意欲的に取り組み、次のリリースに入れるいくつかの拡張の案を出した。

  • 新しいユーザーインターフェイス: ダイアログユーティリティにより作られた現在のインターフェイスには制限がある。問題点に基づく新しいメニューのシステムは現在開発中である。
  • 安全なカーネル: 我々は、より高度なセキュリティが SELinux を使ったカーネルに追加されることに期待している。厳しいポリシーは、危うくされたHoneywallゲートウェイの危険を軽くするのを助けるのに用いられるだろう。
  • データ解析: 我々は Honeywall CDROM が集めたデータの解析をより簡単に評価するために、 GUI ベースのツールを開発している。またハニーネットが保存した動作を、例えば日毎や週毎のレポートのように、自動にレポートするツールの実現も計画している。
  • 分散型データ処理方式の機能: 現在のHoneywall CDROMはスタンドアロンなシステムを作るために設計された。我々はCDROMを使って作られたシステムの管理を簡単にするため、また複数の配置からデータを中心に集めるために、配布機能を研究している。
これはベータ版なので、我々はバグレポートやパッチを奨励する。公開 bug server は、Honeywall CDROMとHoneynet Projectによって作られた他のツールだけのためにセットアップされている。我々はまた、現在のリリースに何が付け加えられれば良いか、また削除すればよいかということに関するユーザーの考えを聞きたい。質問や意見は project@honeynet.org に直接送って頂きたい。Honeynet CDROMはアクティブに発展しているところである。最新の情報と更新のために、Honeynet Project siteを頻繁にチェックされたい。 


The Honeynet Project

Comments