roo

Know Your Enemy:

Honeywall CDROM Roo

3rd Generation Technology

Honeynet Project & Research Alliance

http://www.honeynet.org

Last Modified: 17 May, 2005

Translated by EBATA Masayuki (eba [at] vogue.is.uec.ac.jp)

Original document is here

Honeywall CDROM は第3世代ハニーネットを素早く構築し、容易に保守し、効果的に解析するために必要なツールと機能を全てインストールしたブータブル CDROM である。この論文では、 2005 年 5 月にリリースされた私たちの CDROM シリーズの 2 番目である Honeywall CDROM Roo について紹介しよう。最初の Honeywall CDROM Eeyore は 2003 年 5 月にリリースされたが、現在無効となり、もはや保守されることはない。この論文は、Honeywall のインストールと保守方法についての徹底したテクニカルドキュメントではなく、それを見たいならば、Honeywall CDROM Online User's Manualを参照するといいだろう。この論文では、代わりに新しいバージョンの機能についての概要と私たちが望むところはどこにあるかに説明する。ここでは、以前に取り上げた KYE: HoneynetsKYE: GenII Honeynets についてのコンセプトを読み理解しているものとして話を進める。

History

最初のハニーネットのコンセプトは 1999 に始まった。セキュリティの脅威に対する詳細な情報はほとんどなく、データを取得するツールもほとんどなかった。その当時、ハニーネットは様々なツール(ファイアウォール、不正侵入検知センサー、パケットスニファなど)を寄せ集め一緒に配置することを要求したために、配備し保守することが極度に難しかった。初期のハニーネットはありのままの状態であり、基本的なデータ制御とデータ取得の能力しか持っていなかった。それらは、3層のルーティングゲートウェイであり、アウトバウンド接続を数えて制限を行い、暗号化されていないトラフィックだけを解析することができた。これらの初期の開発は、第1世代の技術と呼んでいる。2002 年と 2003 年において、私たちは任意の2層のブリッジ、不正侵入防御システム(snort-inline)、暗号化通信の解析を行う Sebekといった機能の追加を行った。私たちは、この拡張をGenII (第2世代) ハニーネットと呼んでいる。これはハニーネットの能力を向上させたが、それらは依然として難解で、配備と保守に費やす時間も多かった。

自然に、ハニーネットの配備をより簡潔にしようとする試みが行われるようになった。これは、ハニーネットを構築し、配備しやすくするため、 rc.firewall スクリプトのようなあらかじめビルドされたツールを提供するところから始めた。2003 年 5 月、Eeyoreという最初の Honeywall CDROM がリリースされた。その目的は、単一の CDROM のみで GenII ハニーネットの配備を自動的に行うために必要な全てのツールを提供することである。このソリューションは、テスト段階の構想であり、いくつかの弱点が存在し、私たちがそこから学んで向上するためのものであった。2004 年 9 月、チームのメンバーは、今私たちが Roo と呼んでいる新しいソリューションを設計し、構築し、開発するために協力して取り組み始めた。このリリースは急激に新しく改善が図られており、 GenIII テクノロジーであるといえる。コアは GenII のデータ制御とデータキャプチャの機能であるが、そればかりでなく、リモートの GUI 管理ツールやデータ解析の統一、Sebek 3.x への対応、頑強なベース OS 、自動アップデートなどを備える。私たちはいかなるセキュリティの専門家も容易に使え、管理できるソリューションが欲しかった。

Overview

多くの点で、元の CDROM Eeyore はプロトタイプで、単独のハニーネットの能力を実証し、その CDROM からいろいろなことを学ぶためのものであった。新しい CDROM Roo は違う。これは正規のソリューションであることを考慮している。それはより容易にインストールして配置でき、大規模な数を配備することができる。私たちの興味は、ハニーネットをアカデミックな研究の場へと広げることと異なる組織のための実際のソリューションへと拡張することにある。以下に私たちが達成しようとする方法の概観を述べる。

私たちの最初の重大な判断は、LiveCD のソリューションを続けるか、ローカルのハードディスクへ OS をインストールさせるかだった。それぞれの選択肢には利点があるが、私たちは全てをローカルのハードディスクにインストールする方が最良であると判断した。OS と Honeywall の機能全ては、システムにインストールされ実行される。(そのため、ハードディスクの以前に保存されていたデータは破壊されてしまう。)このアプローチにより、新しいパッケージをインストールしたりシステムの設定ファイルを編集したりといった LiveCD を用いたソリューションでは行えなかった一旦インストールしたシステムの変更を行いやすくする。また大規模な配備には重要なベース OS のアップデートと管理も行いやすくなり、 yum のようなパッケージを最新の状態に保つ自動化ツールを用いることができるようになる。現在 CDROM の唯一の目的はローカルのハードディスクにこの機能をインストールすることであり、一旦インストールすればもはやそれは必要なくなるだろう。この改良によってインストールプロセスは完全に自動化されたヘッドレスインストールとなった。CDROM は予備設定されており、あなたの Honeywall はすぐにインストール後へと進む体勢になっている。 オンラインユーザマニュアルの Installation Section でより詳しく学べるだろう。これは多くのハニーネットを配備することを素早く容易にする。

2 番目の決定は使うベース OS だった。私たちの目標は OS 非依存の Honeywall 機能の提供である。言い換えると、あなたはあなたの使いたい OS (例えば RedHat, Suse, OpenBSD, Solaris など)をつかってあなたが必要な Honeywall パッケージをインストールできるということである。しかしながら、私たちはまだこれを達成できていない。加えて、私たちはインストールする CDROM の OS を選択しなければならなかった。そのため、私たちは Fedora Core 3 の最小バージョンを使っている。私たちはセキュリティによる懸念からシステムを最小化している(そのためウィンドウ表示などの機能はない)。しかし、付加機能( web サーバやデータベース、インターナショナルキーボードのサポートなど)のためのベース OS としては十分である。加えて、パッケージ管理ツールは新しい機能の追加を容易にする。例として、もしあなたが現在インストールされていないツールを追加したかったら、あなたはベース OS である Fedora と同じ方法でインストールすることができる。一旦 Honeywall を配備したら、OS の管理し、最新の状態に保つことはあなたの責務となる。 Fedora にはこの特別な目的のために yum ユーティリティを備えている。また、Honeywall の機能を管理するためにも同じパッケージ管理ツールとしてこれらを使える。私たち Honeynet プロジェクトと研究団体が Honeywall のアップデートパッケージをリリースするとき、あなたは新しい CDROM をダウンロードし再びインストールしなくてもよい。代わりに、あなたの OS は私たちの Web サイトからパッケージをダウンロードしそれらをインストールするだけでよい。これはあなたの Honeywall の管理と最新の状態に保つことをより簡潔にさせる。

3 番目の鍵となる判断は一度インストールした Honeywall の管理方法をどうするかであった。最初にリリースされた CDROM Eeyore では、ダイアログメニューに限定されていて、ローカルまたはターミナルのアクセスを要求した。新しい CDROM Roo ではインストール物を設定し管理するための 3 つの選択肢を用意している。私たちは CDROM を GUI の使用など一般のユーザに可能な限り保守しやすくしつつ、高度なユーザのために、特に分散環境でそれらの処理を自動化する能力を備えたかった。以下ハイライトした 3 つの選択肢について紹介する。

  • HWCTL: これは様々なプログラムで使われるシステムの変数を設定したり、その能力やサービスを開始したりすることができる強力なコマンドラインユーティリティである。このツールを用いるメリットは簡潔にローカルや SSH アクセスを経由してシステムの振る舞いの変更を行うことができる点である。それは、リモートのシステムに接続しシステムの設定を変更するための自動スクリプトの実行を可能としていて、分散環境に置いては非常に重要な特徴である。
  • ダイアログメニュー: これは前の Eeyore と同じメニューである。HWCTL ユーティリティと同じようにローカル、リモートどちらからもアクセスすることが可能である。それはグラフィックベースであるが、その能力は制限されている。
  • Walleye: 3番目の選択肢は Walleye という Web ベースの GUI インターフェイスである。Honeywall は管理用インターフェイス上で SSL でリモート接続できる Web サーバーを実行する。この GUI により、ユーザは簡単にポインティングとクリックによってシステムの設定と管理を行うことができる。全ての情報は視覚化されアクセスしやすく拡張されたメニューがある。また異なるオプションによって詳細な説明が備わっている。異なる役があり、組織では役に応じて GUI を通し情報へのアクセス制御を行うことが可能である。Walleye の最も重要なメリットは他の 2 つの選択肢に比べより扱いやすいという点である。そのデメリットはローカルでは使うことができないという点であり、そのリモート接続には Honeywall の 3 番目のネットワークインターフェイスが要求される。また、その Web ベースの GUI は現在 Internet Explorer と Firefox どちらのブラウザにも対応している。

以前リリースした Eeyore で学んだ重要な課題の一つは強力で使いやすいデータ解析ツールの必要性であった。ハニーネットの主要な目的はデータ収集であるが、そのデータがもし解析されないのならば何の意味があるだろうか? この CDROM Roo では、 Walleye というインターフェイスによるデータ解析能力が組み込まれている。あなたは同じ GUI で honeywall の管理だけでなく、ネットワークとハニーポットの活動の追跡と解析を行うことができる。GUI は全てのインバウンドとアウトバウンドのトラフィックの概観を見せる所から始め、あなたはさらに興味ある接続の詳細について注目して解析することができる。あなたは pcap 形式でネットワーク接続を抽出することができ、より綿密に解析する際には、 Ethreal のような他のツールを使うことができる。また Sebek のデータを解析することもできる。Sebek はハニーポット上のシステム活動をキャプチャするカーネルモジュールである。Walleye はシステム活動の全てを解析するために使われ、その過程を視覚的なグラフによって描くこともできる。Sebek は非常に有用であり、特に攻撃者が SSH 接続を用いるような暗号化を行う状況でより有効である。

The Future

私たちはまだこの CDROM に満足してはいない。そして、いくつかの取り組みたい分野がある。第一にデータ解析がある。私たちは疑わしい接続の識別や SNMP の組み込み、レポート生成のような多くの新しいオプションや特徴の追加を計画している。加えて、 Walleye は現在単一のシステムのみをサポートしており、一つのハニーネットからのデータだけしか解析することができないが、私たちは複数のハニーネットからのデータを収集し解析することができるよう取り組んでいる。第二の分野として、分散がある。あなたは、 Roo によって複数のハニーネットを配備し、保守することができる。しかしながら、それは私たちが考えていたロバスト性を備えていない。その取り組みでは、大規模で分散された環境でも簡潔に中央から遠隔で管理できなければならない。第三に、私たちは最終的に Honeywall の機能とそれらのパッケージを特定の OS から’切り離し’たい。私たちの最終目標は個人または組織のため、それらがベース OS を選択し、 各自の honeywall パッケージをインストールすることができるようにすることである。もし新しい特徴や機能について提案があれば、その拡張要求を私たちのバグサーバーに投稿してほしい。あなたの投稿を評価する際に、拡張要求の CDROM への組み込む方法についてなど情報が多いほど、あなたの投稿は取り込まれやすいだろう。

Conclusion

Honeywall CDROM Roo は正規のソリューションとして、世界中の個人または組織に使われるよう設計された。前のバージョンである Eeyore から得られた課題を基に、私たちはこのバージョンでインストール、設定、保守をより容易にし、データ解析の能力を追加しようと試みている。配置する前に、この種の技術を使うことに対するリスクや問題を必ず読んで理解してほしい。そして、あなたの組織や国の法律の見解を理解してほしい。次の 12 ヶ月以内では、データ解析と分散環境の管理において、多くの新しい特徴と機能が期待されるようなものとなるだろう。あなたは、Honeywall CDROM サイトで最新のバージョンの CDROM を見つけダウンロードすることができるだろう。