edu
Know Your Enemy:
Honeynets in Universities
Deploying a Honeynet at an Academic Institution.
Last Modified: 26 April, 2004
translated by HIDESHIMA Yusuke (hidesuke[at]vogue.is.uec.ac.jp)
ハニーネットは情報保証(Infomation Assurance)という観点から有用な研究用のツールとして紹介されてきた。公私を問わず、多くのセキュリティに関わる研究者や団体は現在、戦略や技術、ハッカーコミュニティの動きを考えるために、ハニーネットを導入し情報を集めている。The Georgia Institute of Technology (Georgia Tech)のハニーネットのメンバーは2002年夏から、ハッカーの情報を集めるために、またキャンパス内のネットワークの安全性を保つために、ハニーネットを内部ネットワークに導入している。この文書は教育機関でハニーネットを運用するための経験と、この経験から得られた教訓を共有する目的で書かれている。この文書は既にKYE: Honeynetsを読んでよく理解し、ハニーネットの考え方に精通している人を対象としている。
有名な大学のネットワークのような巨大なネットワークでハニーネットを運用することは研究にとって多大な利益をもたらす。私たちの経験から、二つの主要な利益が挙げられる。まず一つ目は、教育用もしくは研究用として集めたデータをコンピュータセキュリティに関係ある研究をしている者が研究に使用することができるという点である。教授や学生が授業や研究の実験としてハニーネットを使用することも可能である。実際、最近Ph.Dを取得したある学生はハニーネットを研究に使用していた。二つ目は、ハニーネットを研究所内のセキュリティツールとして使用できるということである。これは、私たちがハニーネットを運用した上でもっとも効果をあげた点である。ハニーネットを運用することによって、研究所内のセキュリティに関する態度が劇的に向上した。例えば、私たちのハニーネットはGA Techのネットワーク内で165以上の脆弱性を発見し、どういった脆弱性があるのか、どうして脆弱なのか、誰が脆弱なのかといった多くの情報を提供することができた。GA Techにどれほどハニーネットが有用な情報を提供してくれたかの詳細は後述する。
Getting That Bad Boy Approved
もしも、ハニーネットを内部ネットワークや教育用ネットワークで、研究目的や侵入検知目的で運用することに興味があったとしましょう。どこから始めればよいだろうか?まず最初にやるべき事は許可を取る事だ。教育用のハニーネットの主な懸念事項は許可を取る事である。どうやってハニーネットを内部ネットワークで使用するための許可を研究所からとればよいのだろうか?大学でハニーネットを構築する際に多くの団体から許可を得ることが重要であることを学んだ。これは以下の二つのことを含んでいる。まず、ハニーネットの有用性と、セキュリティやプライバシーに対する正当性について説明すること。あなたがネットワークを所有しているわけではないので、ハニーネットを構築する際にはこれらのことを説明するのが重要である。事前にネットワーク管理者と大学の管理者へ説明をする必要がある。ネットワークの管理者に知らせることなくハニーネットを運用してはいけない。
最初はハニーネットを研究目的で構築できるように要求していた。ハニーネットは様々な研究の材料となる。例えば、データベース、分散処理、データ解析、エージェント技術、ネットワークの基礎や応用に関するもの等である。さらに、ハニーネットは研究のために様々なデータを提供してくれる。しかしながら、ハニーネットは異常検知に使用できるということが分かってきて、私たちはすぐにハニーネットを大学のセキュリティの一環として使用できると認識した。ハニーネットの利益は研究の域を超えて、システムやセキュリティ管理者のツールとして使用できる。詳細は後述するが、Georgia Techでハニーネットを運用したところサイバーセキュリティに対する大学の意識が非常に高まった。
二つ目の必要なことはセキュリティやプライバシーに関する正当性を考えることである。これはネットワーク管理者や大学の管理者にとって根本的な問題であり、ハニーネットを運用することを拒否するためにしばしば言われることである。ハニーネットを大学で運用するためにネットワーク管理者に許可をとることは最も重要であるが、ネットワーク管理者のなかにはハニーネットを運用することを渋る人もいる。こういう人たちはハニーネットを運用することによってシステムの脆弱性が増すのではないかと恐れているのである。Georgia Techでは反対のことが言えるということを発見した。ハニーネットは怪しいトラフィックがキャンパス内を流れていないか解析する機会が増える。データコントロールの方針が守られているなら、ハニーネットのマシーンが学内全体のマシーンの危険を軽減する。ハニーネットのデータをよく監視し、怪しい事件をネットワーク管理者にたびたびレポートすれば、ハニーネットを構築することに対して抵抗が少なくなるだろう。私たちの場合、ネットワーク管理者(Gerogia Techオフィス、情報技術担当のテクニカルプロジェクトディレクター)が積極的に協力してくれて、The use of a Honeynet to Detect Exploited Systems across Large Enterprise Networksという論文を共著した。この論文では学内ネットワークを安全に保つのにハニーネットを使用する利点について、詳しい議論の内容が書かれている。
ネットワークのスタッフが技術的セキュリティを引き受ける必要性に加えて、大学の管理者がハニーネットを運用する許可をださなくてはならない。 管理者はまず合法性とプライバシーについて考えるだろう。もっとも良い解決方法は正当な手続きを示した運用ポリシーを明文化することである。 よく言われる法的な質問は、ハニーネットを設置することで盗聴行為をされるのではないか、ということである。この質問に対して米国司法省が回答していて、ハニーネットは盗聴行為の例外と Provider Exception (System Protection) の項で定めている。つぎに考えられるのがおとりの問題である。ハニーネットを運用していて、人々をスキャンや侵入に駆り立てる魅力がなかったら おとりを置く利点はほとんどない。最後の問題はネットワーク上のデータのプライバシーの問題である。キャッシュカードの番号、ユーザID/パスワード、社会保障番号、そのほかの多くのデータといった情報はハニーネットを用いると簡単に捕らえることができる。 これらのデータの適切な取り扱いが重要である。
ネットワーク管理者は学内ネットワークを安全に保つためにどのような合法的な手段を取るのかを知っているし、学内ネットワークのトラフィックを監視するために何を考えるべきかも知っているだろう。もし、ネットワーク管理者も、あなた自身もこのことについて分からなかったら大学の法務部に聞く必要がある。Georgia Techの法務部はハニーネットの運用を決定した。ハニーネットはGeorgia Techの学内ネットワークで変位的な、もしくは悪意のあるトラフィックを正当な手段で監視することになった。Georgia Techの情報技術オフィス(OIT)はハニーネットを構築する許可を法務部から得た。OITはハニーネットを構築し監視する権限をえる代わりにGeorgia Techの学内ネットワークを守ることになった。Georgia Techにはいくつかのガイドラインがあり、これをはニーネットを運用するために少し変更しなくてはならなかった。
- Georgia TechハニーネットはGeorgia Tech内ネットワークで提示されたアドレスで運用される。
- Georgia TechハニーネットはGeorgia Techのネットワーク内で見つかったコンピュータの代表的なオペレーティングシステムを使用する。
- 私たちのハニーネットではIRCトラフィックの収集は行わない。もしもIRCサーバーがハニーネット内で運用されたらそのサーバーは直ちにネットワークから外される。これは米国の盗聴基準を守るもので、IRCを使う事によってIRCサーバーが脆弱性のあるマシーンであるか分からなくなるためである。このような利用者のプライバシーを守る処置である。私たちは米国の盗聴規則を犯さないにはこの方法が最適であると決定した。他の多くの国でもネットワークを安全に保つために同様の規則があるであろう。
Technology We Used
ハニーネットを運用する許可を取ったら、次にすることはどのタイプのハニーネットを使用するかを決めることである。現在ネットワークで使用できるハニーネットは2つのタイプがある。それはGEN 1(第一世代)とGEN2 (第二世代)である。これらのハニーネットは使用できるリソース、検知したいハッカーや攻撃の種類、ハニーネット構築の手順など様々な点で異なっている。
- GEN I ハニーネット - よりシンプルな手段で構築できる。これは私たちがハニーネットを最初に構築したときに選んだものである。この単純さがハニーネットの運用の仕方を学ぶのに役に立った。これはハニーネットの単純な物ではあるが、ハニーネットの基礎について学ぶという目的で非常に役に立つ。
- GEN II ハニーネット - ハニーネットのより洗練された物である。GEN I を使用してハニーネットの基礎を学んだあと、現在Georga Techで使用しているハニーネットである。GEN IIハニーネットの運用を非常に簡単にするHoneywall CDROMがもうすぐ使用可能になる。更に詳しい情報はKYE: Honeynetsを参考してほしい。
私たちは最初、GEN I ハニーネットを学内ネットワークに使用した。私たちの最初の目的は学内ネットワークでルートキットを集める研究に加えて自動のスクリプト攻撃などに対する脆弱性をもったコンピュータを探し出す事であった。 それに、最初は単純なものから始めたかった。GEN IIハニーネットを導入したあとのデータ解析を楽にするという意味もあった。どちらのタイプのハニーネットを使用しても、多くのリソース(コンピュータ、スウィッチ、ハブ、その他)が必要である。 幸運にも、私たちはハニーネットを非常に安価に構築する事ができた。ハニーネットを使用するのは攻撃者だけなのだから、高スペックのシステムは必要ない。私たちはハニーネットを運用するために余り物のマシーンと研究室の使える場所を使用した。余り物のマシーンはおおくの研究所にあるだろう。それに加えて必要な道具は、一つのモニタとキーボードでハニーネットマシーンを動かすためにKVMタイプのスウィッチボックスが必要である。可能であればハニーネットマシーンは脆弱なシステムの解析をオフラインで行うために持ち運び可能なドライブに設定をするのが望ましい。出来合いの物でハニーネットを構築する。ハニーネットを構築するのに多くのお金をかけないほうがよい。一方、ハニーネットでは時間が多く必要になってくる(ヒント:大学院の学生は非常に安い)。Georiga Techでは余り物とすぐに使えるもの(学生と学生の時間、これはタダ)を使用した。現在の設定でかかった値段は:
- 8 port KVM switch OSU21032 $355.00
- Dell Dimension 2400 Computer x 8 @$675.00 $5400.00
- Data Castle BT-27 removable drives 2 per computer @ $20.00 $160.00
- Computer Rack $1058.00
- Total $6973.00
私たちのハニーネットは現在$7000以下で作られている。KVMスウィッチボックス、余り物のコンピュータ、ハードドライブ等は全部そこらへんにあったものを使った。ハニーネットを構築し、維持する時間以外はまったくお金はかからなかった。もしも私たちが使ったハードウェアーを買わないといけないなら$7000くらいで買える。あなたの大学で似たような環境はすぐつくれるはずだ。
Maintaining and Monitoring our Honeynet
ハニーネットは比較的安く簡単に導入できるが、維持するのに恐ろしく時間が必要である。Georgia Techでは前日のトラフィックを解析するのに平均して一日1時間を要した。 ハニーネットのよいところは悪意のあるトラフィックや何が行われているかを解析することではないということをよく覚えておいてほしい。 その代わり、ハニーネットを運用する上で取れるすべてのデータは悪意のある物だと仮定してよい。では何故データを解析するかというと、解析することに意味があるからである。このことによってハニーネットは許可されていない行為がネットワーク上で行われていないかを知る非常に協力なツールとなる。私たちがハニーネットを置いた最初の頃はデフォルト設定のSnortを動かして、etherealの何に焦点を当てるべきかを知るため、Snortのアラートとethereal経由のtcpdumpのデータの相互に関係のあるものを解析した。そして、よりSnortを快適に使うために、学内のネットワークで観測されるトラフィックのうち特定の怪しいトラフィックに対して警告を発するようにSnortのルールを自分たちで記述した。その後、tcpdumpのデータを使用しているうちに、私たちは直接etherealを使えるようになり、特定のデータを取り出すためのフィルターを自分たちで記述した。この解析プロセスを自動化する方法は存在しない。しかし、誰かがこの手作業の解析のうち自動化できる部分は自動かしなくてはならないだろう。
攻撃が起こった場合、私たちはハニーネットで収集されたデータを1時間毎40時間にわたって解析する。これは非常に時間がかかるが得るものが非常に大きい。私たちは現在この解析作業をGeorgia Techの内部で分業しており、この研究に携わるすべての人が脆弱性レポートに貢献している。レポートはハニーネット内で起こったすべての脆弱性に対して作成される。学内のコンピュータからハニーネットに対する怪しい行為に対してもレポートが作成される。 これらのレポートはOITの個人、教授、個人ネットワーク管理者、そしてGeorgia Tech内でハニーネットに興味をもっている人たちへ送られる。
Our Honeynet Proves its Worth
Georgia Techは他の多くの大学と同じ環境であり、私たちは様々な取り組むべき課題や問題に直面している。 私たちはは、自由にアクセスすることが必要なリソース非常に多くあり、このことがネットワークを安全に保つことを非常に難しくしている。Georgia Techの内情をすこし示す。
- 学生15000人, 教職員5000人, 69学科
- 非常に多くのコンピュータやOSが入り交じっている
- 4つ以上の異なるOSがブートできるマシーンは珍しくない
- 30000-35000のネットワークにつながるコンピュータが学内にある
他の多くの研究所と同じように、私たちもいくつかの理由から大きなターゲットである。
- インターネットの大きな帯域幅をもっている(600Mbps/1日4Tbyte)
- 多くの学生のマシーンが大きなハードディスク容量をもっている
- "Academic Freedom" トラフィックに隠れることができる。Acacemic Freedomとは、Georgia Techは研究機関であるので最新の研究を行うためにネットワークトラフィックに制限をかけないという物である。 Academic Freedomの必要性からGeorgia Techでは学内ネットワークとインターネットの間にファイアウォールを設置していない。Georgia Techの個人の少数派がファイアウォールを使用している。また、IDSを学内のゲートウェイのDMZと後続の調査の為に設置している。これらのネットワークの特徴がハニーネットをGeorgia Techのネットワークの更なるIDSツールとしての導入につながった。他の教育機関、研究機関も同じような特徴をもっていると思われるので、ハニーネットを導入する利益は十分にある。
当初の目的であり、私たちのハニーネットの利益の一つは、研究への使用である。Georgia Techでハニーネットは学生のOSやセキュリティの研究に使われている。ハニーネットはPh.Dの研究などとして使用された。 ある研究ではハニーネットによって収集された新しい、もしくはすでに存在するルートキットを解析し最新のルートキット検知方法を考案した。 私たちはハニーネットによって得られた、以前には見られなかったルートキットに関する論文を発表した。私たちはこのルートキットの特徴をみつけ、このルートキットを検知するシグネチャを作った。また、GPLツールの作者たちにアドバイスと欠点を教えて、彼らのツールの改善に寄与した。 また、ハニーネットとダークネット(未使用のIPアドレスを使用してトラフィックを見る研究)という二つのタイプのIDSを繋ぐための共同研究が進められている。Georgia Techではハニーネットは様々な研究に使用されており、現在進められているコンピュータやネットワークセキュリティの研究に大きく貢献している。
私たちはまた、ハニーネットは卓越した教育ツールとして使えることを発見した。ハニーネットを使用する事で独自の学習プログラムの一環としてハニーネットを監視する学生は実践的な経験をえる事ができる。この実践的な体験は学生に多くの機会を与える。攻撃とルートキットを勉強することによって学生はドキュメントの書き方とどのように、いつ攻撃がおこったのかという記録の書き方とルートキットの解析、すなわち、どのように対処するか、どのような動きをするかといったことを覚える。ハニーネットのメンバーの一員として、Georgia Techは四半期毎に私たちのネットワークでどういったデータが取れたかを報告している。ハニーネットを独自の学習として監視している学生はこのレポートを脆弱性発見のレポートと同様に制作しなくてはいけない。ハニーネットのデータはネットワークセキュリティの授業で学生にトラッフィク解析の練習としてetherealやtcpdumpのようなツールを使うのに使用できる。授業や他の団体に対してハニーネットに関するプレゼンテーションも行っている。カリフォルニア大学サンタバーバラ校(UCSB)主催の2003 'Capture the Flag' ネットワークセキュリティ研究会のSnort-inlineのセッションでGeorgia Techのチームが発表を行った。
私たちが最も驚いた事はハニーネットを検知に用いることによる非常に大きな利益がでるということである。私たちのハニーネットはGeorgia Techの内部ネットワークで165を超える脆弱性を発見した。 私たちのハニーネットは非常に誤検知が少ないので、様々な場合で使いやすく、以前からの検知技術よりも効果的である。ハニーネットによる検知の最大の利点は詳細な情報を得ることができる点である。私たちはパスワードやリモートIPアドレス、どのようにしてハッカーが脆弱性を利用するかといった情報を得ることができる。ハニーネットの運用を始めた初期にはGeorgia Techのシステムのパスワードの脆弱性をハッカーによって狙われていたことを突き止めた。このシステムはハニーネットを含む内部のシステムに攻撃者が接続するのに使われていた。私たちのハニーポットはすぐにこの攻撃者を特定し、攻撃者がシステムに侵入するために使っていたツールや戦術を知る事ができた。攻撃者は後に接続する為にハニーネットにバックドアを仕掛けていた。このシステムには脆弱性があることを私たちは知っていたが、ハッカーの行動を追跡するために稼働を続けた。数日後、このシステムの脆弱性を利用してハッカーがバックドアポートへの接続しGrogia Tech内の他のコンピュータに接続した。私たちは直ちにGeorgia Tech情報技術事務(OIT) に連絡し、OITの職員はこのコンピュータを解析するためにオフラインにした。しかし、OITの職員はこのマシーンから脆弱性を発見できなかった。このマシーンはエクスプロイットによって侵入されたのではなくてパスワードが脆弱であったため侵入されたことがわかった。ハッカーは何らかの方法でこのコンピュータのパスワードを盗んだとOITの職員は推測した。 ハッカーはブルートフォース技術をつかってこのコンピュータのパスワードを推測したと考えられる。ハッカーはおそらくこのハッカーが設置したダミーのウェブサイトからユーザー名とパスワードを無意識の利用者(ソーシャルエンジニアリング)から得たのだと考えられる。OITの職員はこの利用者にパスワードをより安全なものに変更し、ウェブサイトのアカウントを取るときはコンピュータのパスワードと違うパスワードを使うように指導を行った。OITの職員は、この脆弱性は現在のセキュリティ技術では検知するのが非常に難しいと認めた。私たちのGEN I ハニーネットは技術のあるハッカーが攻撃する大概の脆弱性に対して検知を行うことができる。これからOIT職員はハニーネットの運営を積極的にサポートしてくれるようになった。2002年夏にハニーネットを構築して以来165件以上の脆弱性をハニーポットは検知している。
Lessons Learned
これから先は私たちが学んだ何をするべきなのか、何をしては行けないのかといった教訓である。これらの短いリストがあなたがミスを犯さない助けとなることを願う。
- 小規模なものから始めよう - もし、教育用ネットワークでハニーネットを運用しようと思うのなら、小規模なものから始めるべきである。最初は2台のマシーン、使い慣れているOSで、ファイアウォールに守られた状態で始めるべきである。これによって、ハニーネットで得られるデータの解析方法を理解することができる。また、適切な設定をできるようにもなる。マシーンが多くなると、得られるデータの量もその分多くなっていく。
- 学内ネットワークの管理者といい関係を維持しましょう。これは非常に重要である。発見されたエクスプロイットの種類をネットワーク管理者に知らせよう。いくつかの場合、彼らはこのエクスプロイットについて知っているかも知れない、あなたがこのエクスプロイットの第一発見者であるかもしれない。ネットワークの管理者はあなたにハニーネットを使うためのIPアドレスを提供しているので、あなたから利益をうけるべきである。
- 学内ネットワークから発せられた攻撃やエクスプロイットに焦点をあてる。これらの攻撃がもっとも学内ネットワークにダメージを与える。もしこのような攻撃を発見したら直ちにネットワーク管理者に報告する必要がある。
- 使用しているIPアドレスを公開してはならない。公開する必要はない。 ハッカーやワームはコンスタントに攻撃するマシーンを探すためにインターネットをスキャンしている。あなたのハニーネットは見つけられて、攻撃を受けるだろう。
- ハニーネットから得られるデータを解析するのに必要な時間を少なく見積もってはならない。このデータは毎日解析しなくてはならない。 あなたは多くの情報を集め、この情報を有効活用するために解析を行わなくてはならない。多くの攻撃はすぐに脆弱性をみつけてシステムの欠点を突く。このような攻撃は解析とドキュメント作成に1週間は必要である。もう一度同じような攻撃があった場合、これらが有効に活用できる。
- ハニーネットを構築するのに高スペックのマシーンは必要ない。Georgia Techのハニーネットは最先端のマシーンは使っていない。私たちがハニーネット構築につかったものはすべてキャンパス内にあったものである。
Conclusion
教育機関でハニーネットを運用した場合、非常に有用なツールとなる。学内ネットワークのセキュリティを高めるという目的だけでなく、様々な研究にも使用する事ができる。Georgia Techで運用しているハニーネットはこの両方で非常に大きな効果を発揮している。