网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > IDS/IPS > 文章  
在入侵检测防护策略中加入蜜罐
文章来源: 互联网 文章作者: 不详 发布时间: 2006-06-26   字体: [ ]
 

  您是否准备好超越平常的抵御入侵者的方法,掌握更多的主动权?不用再坐等入侵者进犯,现在你可以利用伪装服务器或者伪装网络引诱(有些情况下甚至是捕获)入侵者,我 们称之为蜜罐(honeypot)或蜜网(honeynet)。

 

入侵检测和入侵防护是IT安全规划的重要目标,最好的入侵检测/防护策略会结合使用多种方法。以前我曾经谈到过如何选择能与业务一同发展的IDS/IPS工具或者软件产品。这里 将介绍一种相应的防御入侵者企破坏网络安全的方法。某些组织机构采用更为主动的方法,即设置蜜罐”——一台伪装成实际的生产用设备的服务器,而它的实际用途只是要吸 引黑客。甚至有时整个网络都由这样的设备组成(经常是在某台服务器上运行的多个虚拟服务器)。下面介绍如何在您的入侵检测和入侵防护策略中加入蜜罐或蜜网,以及它们如何 成为网络中真实的一部分。

 

蜜网工作方式

 

蜜罐或蜜网是网上针刺 操作的基础:它能够诱敌深入,不用冒着暴露生产网络的风险就可以追踪入侵者的行为。这一方法目前是如此流行,以至于有了自己的博客网站:honeyblog

 

虽然蜜罐电脑看似网络的一部分,但实际上与网络隔绝并有所保护,因此闯入蜜罐电脑的入侵者无法触及网络的其他部分。蜜罐的诱惑力源自其上所储存的资源,这些资源看起来 很象敏感或者保密的文件,能够提起黑客的兴趣。蜜罐处于严密监视下,入侵者很早就会被侦测出来,并能追查到黑客的源头。

 

蜜罐还有一个次要的作用就是转移入侵者的注意力,从而保护生产网络。

 

实施蜜罐或蜜网

 

一旦您决定在入侵检测/入侵防护策略上加点,你就需要确定以下问题:

 

u        在网络何处安置蜜罐/蜜网

u        实施单一的蜜罐还是多计算机的蜜网

u        使用实体设备、虚拟软件还是使用专为实施蜜罐设计的多设备模拟蜜罐软件。

 

蜜罐的安置

 

你可以将蜜罐放置在内部网上,但是你的网络防护措施会保护蜜罐免受来自互联网的入侵者的袭击。内网蜜罐因此可以用来侦测来自LAN内部的袭击。如果内网蜜罐遭到来自互联网 的袭击,就说明网络边界的安全措施不够完善。如果蜜罐的吸引力够大,就可以保护任务关键内部服务器在安全措施不完备的情况下不会首先遭到入侵。

 

许多组织机构直接将蜜罐连入互联网。这样使得蜜罐很容易遭到袭击,经常会出现大量的入侵。因此,这样的蜜罐对于老练的黑客来说可能有一些可疑。

 

最常使用的方法是将蜜罐安置在DMZ或者网络边界上,就是位于互联网和内部LAN之间有防火墙保护的子网。

 

蜜罐或者虚拟蜜网设备应该仅作为检测系统使用,而不用做其他用途。

 

蜜网的扩展

 

对于小型企业来说,单一的蜜罐服务器已经足够。随着企业的成长,企业会更熟练的掌握使用蜜罐诱捕入侵者的方法,就可以创建蜜罐组成的网络,也就是蜜网。为了构建蜜网而 购买多台设备成本颇高,但你可以使用VMWare或者微软公司的Virtual PC/Virtual Server等虚拟化软件建立几十台易受攻击的服务器等候被袭。每台虚拟设备都有自己的IP地址,并可以在不同的虚拟设备上运行不同的操作系统。例如你可以创建虚拟的电子邮件 服务器来引诱垃圾邮件发送者等等(不过请记住,根据操作系统的不同,你可能需要为虚拟服务器购买使用许可)。

 

你甚至可以在蜜网上增加假的802.11无线接入点。由于无线网络是入侵者最喜欢的攻击目标,因此WAP能够吸引和迷惑那些查找开放无线网络的人。Black Alchemy公司的FakeAP就是一款可以在Linux上运行,并能创建53000个假登录点的开源程序。你可以在http://www.blackalchemy.to/project/fakeap/下载。

 

蜜罐软件

 

其他能够用来设立陷阱的蜜罐/蜜网软件还有:

 

Honeyd是能够创建多个可以配置不同操作系统和服务的虚拟主机的Linux后台程序。单独一台设备能够模拟出超过65,000台网络设备,还可以对虚拟设备进行pingtraceroute 操作。你可以在http://www.citi.umich.edu/u/provos/honeyd/下载并找到更多讯息:这里甚至还有Windows版本的Honeyd

 

HoneyBOT是一款能够在网络上模仿超过1000个易受攻击的服务的Windows蜜罐程序,可以捕获和记录入侵和袭击企图。它运行于Windows 2000及以上版本,是AtomicSfotwareSolutions公司的产品。你可以在以下地址免费下载使用http://www.atomicsoftwaresolutions.com/honeybot.php

 

NetBait能够建立假网,将入侵者的注意力从实际网络转向假网。这个软件可扩展性强,既有针对中小企业的版本,也有企业级版本。其前身是一个基于网络的客户现场服务, 后来则作为内部解决方案使用。你可以在http://www2.netbaitinc.com:5080/products/了解到更多信息。

 

Honeywall是一张可以用来实施蜜网的CD-ROM,可以在蜜网项目网站http://www.honeynet.org/tools/cdrom/上下载。

随着您越来越深入的了解蜜网项目,您就可以使用专用的模拟特殊类型服务或服务器的软件产品。例如:

 

Spampot是能够模拟开放转发的虚拟SMTP服务器 ,可在http://woozle.org/~neale/src/python/spampot.py 下载。

 

ProxyPot模拟开放proxy,专为截获垃圾邮件发送者而设计。Sandtrapwardialer侦测器,能够模拟开放的调制解调器,然后记录呼叫者ID和登录企图信息。

 

--

原文链接: http://www.ccw.com.cn/cio/research/info/htm2006/20060626_193094.asp

 
推荐文章
·技术知识入门:反NIDS技术应用介
·入侵检测系统逃避技术和对策的介
·安全防护 - 入侵检测实战之全面
·十大入侵检测系统高风险事件及其
·术语详解: IDS
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统(IDS)的弱点和局限(
·入侵检测系统面临的三大挑战
·入侵检测应该与操作系统绑定
·入侵检测术语全接触
·IDS:网络安全的第三种力量
·我们需要什么样的入侵检测系统
·IDS的数据收集机制
 
 
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·IPS vs. IDS 势不两立还
·我们需要什么样的入侵检
·入侵检测系统逃避技术和
·技术知识入门:反NIDS技
·IDS逃避技术和对策
·理解IDS的主动响应机制
·警钟再鸣 防御在入侵的
·四项下一代入侵检测关键
相关分类
相关文章
·IPS能否成为IDS杀手?IP
·入侵检测系统带来安全革
·安全防护 - 入侵检测实
·入侵检测系统与入侵防御
·术语详解: IDS
·入侵检测系统(IDS)的弱
·入侵检测系统(IDS)的弱
·入侵检测系统(IDS)的弱
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $