Mark Joseph Edwards 著

 セキュリティをいくつかの階層に分けて設定しているだろうか? もしそうなら,どんな種類の攻撃が狙っているか,それを判断するのに役立つ機能を各階層が備えているだろうか? ほとんどのシステムでは,恐らく侵入検出システム(IDS:Intrusion Detection System)のような,外部からのスキャン(probing)や攻撃検出ツールを設置しているだろう。そこでさらに,ハニーポット(honeypot,はちみつ壷)を加えれば,ある種の攻撃検出技術を追加できる。

ネットの敵を陥れるハニーポット技術

 私は以前に,様々なネットワークやシステム,サービスのエミュレータの情報を含めて多様なハニーポット技術について書いた(該当サイト)。例えば,あるハニーポット技術はSMTPメール・サーバーのようなサービスを模倣することで,他の人たちがスパマーを妨害するのを手伝うことができる。ハニーポットに関する記事は以下の検索用URLで見付けられる(該当サイト)。

バーチャル・ホストを作るHoneyd

 Lance Spitzner氏のTracking Hackers Webサイト上で彼はハニーポットを「探られたり,攻撃されたり,傷つけられることに価値のあるセキュリティ・リソース」と定義している。もし,ハニーポット技術に興味を持っているなら,「Honeyd」の新バージョン(該当サイト)が2月14日,リリースされたことをお知らせしたい。

 Honeydを開発したNiels Provos氏は次のように説明している。「Honeydは,ネットワーク上にバーチャル・ホストを作るための小さなデーモンとして動作するバーチャル・ハニーポットだ。このホストは任意のサービスを運営するように設定でき,ある特定のOSを走らせているかのように見せかけられる」。Honeydはネットワーク上の未使用のIPアドレスをモニターして,スキャンと侵入を検出するためのハニーポットをバーチャル・ネットワーク上に作るのに役立つ。

 Honeydは不正な活動を見付けるため,だれもトラフィックを送ることがないはずの,あなたのネットワークの未使用IPアドレスあてのTCPやUDP,いくつかのタイプのインターネット制御メッセージ・プロトコル(ICMP)トラフィックに耳を澄ましている。もし,あなたが侵入者対策をするために,偽のサービスを設置したいなら,Honeydを使うのもいいだろう。Honeydの優れた特徴の1つは,Windowsや米Cisco SystemsのルーターOSといったような,OSに関してカーネル・レベルで所定のシステム・タイプを偽装する能力である。これなら,XprobeやNmapのような,正確なOSタイプを検出するツールにも対処できる。

 Honeyd 0.5のリリースに合わせて,Provos氏はHoneydプロジェクトに貢献したい人向けに招待状を出した。有用な機能追加と改善を発展させるためだ。貢献者になりたい人は,追加サービスのエミュレータ,分析用の討論ツール,Honeydのログ・ファイルの視覚化,GUIなどの開発に参加できる。ミシガン大学がホストしているHoneyd Webサイトで,その開発の様子が読める(該当サイト)。

単独で利用できるHoneyweb

 他の有用なハニーポット・ツールはHoneydと連携して動作するが,そうしなくても単独でそれらを運用できる。そのようなツールの1つが,Kevin Timm氏によって書かれた「HoneyWeb」で,Webサイトから入手できる(該当サイト)。HoneyWebはApache,Netscape,IIS(Internet Information Server/Services)を含む種々のWebサーバー・プラットホームをエミュレートできる新しいツールである。HoneyWebは,HTTPヘッダーをエミュレートしてWebページを配信することで侵入者をだます。

 例えば,HoneyWebは送りつけられたURLリクエストを見て,それらがどのプラットホームに合わせているかを判断して,そのプラットホームをエミュレートするヘッダーとWebページを返す。私の理解した範囲では,そのツールはURLリクエストを繰り返して追跡することも行うようだ。もし,同じユーザーがまずUNIXスタイルのリクエスト,次に(設定可能な時間間隔で)Microsoftスタイルのリクエストをしてきたとしよう。するとHoneyWebのシステムは,Webプラットホームのタイプをエミュレートしたままの状態で,整合性を維持するため,404エラーを返すことができる。HoneyWebは,他の種類の内容をごまかすこともできる。所定のルート・パスのURLに対して偽のディレクトリ一覧を返したり,.htaccessファイルの偽の解釈結果を返す。

 Timm氏は,プログラミング言語PythonでHoneyWebを開発した。HoneyWebについてさらに多くを知るには,HoneyWebを解説したWebサイトに,そのプログラムのアーカイブ・ファイル内のreadmeテキストを読むことだ(該当サイト)。もし,HoneyWebを試してみたいなら,あなたのプラットホームにあったPythonのコピーを入手する必要がある(該当サイト)。HoneyWebはStunnelをアドオンとして使うことでSSL(Secure Sockets Layer)もサポートする(該当サイト)。

 あなたが自分のネットワーク上でハニーポットを使っていないのなら,是非インストールすることをお勧めする。それは区別しにくい形の外部からのスキャンを検知し,あなたのIDSが検出できないかもしれない攻撃を識別してくれるだろう。ハニーポットを使うことは,あなたのネットワークが直面する攻撃のタイプに対する認識力を高め,ネットワークをいっそう安全に保つ助けになる。