您是否准备好超越平常的抵御入侵者的方法,掌握更多的主动权?不用再坐等入侵者进犯,现在你可以利用伪装服务器或者伪装网络引诱(有些情况下甚至是捕获)入侵者,我 们称之为蜜罐(honeypot)或蜜网(honeynet)。
入侵检测和入侵防护是IT安全规划的重要目标,最好的入侵检测/防护策略会结合使用多种方法。以前我曾经谈到过如何选择能与业务一同发展的IDS/IPS工具或者软件产品。这里 将介绍一种相应的防御入侵者企破坏网络安全的方法。某些组织机构采用更为主动的方法,即设置“蜜罐”——一台伪装成实际的生产用设备的服务器,而它的实际用途只是要吸 引黑客。甚至有时整个网络都由这样的设备组成(经常是在某台服务器上运行的多个虚拟服务器)。下面介绍如何在您的入侵检测和入侵防护策略中加入蜜罐或蜜网,以及它们如何 成为网络中“真实”的一部分。
蜜网工作方式
蜜罐或蜜网是网上“针刺” 操作的基础:它能够诱敌深入,不用冒着暴露生产网络的风险就可以追踪入侵者的行为。这一方法目前是如此流行,以至于有了自己的博客网站:honeyblog。
虽然蜜罐电脑看似网络的一部分,但实际上与网络隔绝并有所保护,因此闯入蜜罐电脑的入侵者无法触及网络的其他部分。蜜罐的诱惑力源自其上所储存的资源,这些资源看起来 很象敏感或者保密的文件,能够提起黑客的兴趣。蜜罐处于严密监视下,入侵者很早就会被侦测出来,并能追查到黑客的源头。
蜜罐还有一个次要的作用就是转移入侵者的注意力,从而保护生产网络。
实施蜜罐或蜜网
一旦您决定在入侵检测/入侵防护策略上加点“蜜”,你就需要确定以下问题:
u 在网络何处安置蜜罐/蜜网
u 实施单一的蜜罐还是多计算机的蜜网
u 使用实体设备、虚拟软件还是使用专为实施蜜罐设计的多设备模拟蜜罐软件。
蜜罐的安置
你可以将蜜罐放置在内部网上,但是你的网络防护措施会保护蜜罐免受来自互联网的入侵者的袭击。内网蜜罐因此可以用来侦测来自LAN内部的袭击。如果内网蜜罐遭到来自互联网 的袭击,就说明网络边界的安全措施不够完善。如果蜜罐的吸引力够大,就可以保护任务关键内部服务器在安全措施不完备的情况下不会首先遭到入侵。
许多组织机构直接将蜜罐连入互联网。这样使得蜜罐很容易遭到袭击,经常会出现大量的入侵。因此,这样的蜜罐对于老练的黑客来说可能有一些可疑。
最常使用的方法是将蜜罐安置在DMZ或者网络边界上,就是位于互联网和内部LAN之间有防火墙保护的子网。
蜜罐或者虚拟蜜网设备应该仅作为检测系统使用,而不用做其他用途。
蜜网的扩展
对于小型企业来说,单一的蜜罐服务器已经足够。随着企业的成长,企业会更熟练的掌握使用蜜罐诱捕入侵者的方法,就可以创建蜜罐组成的网络,也就是蜜网。为了构建蜜网而 购买多台设备成本颇高,但你可以使用VMWare或者微软公司的Virtual PC/Virtual Server等虚拟化软件建立几十台易受攻击的服务器等候被袭。每台虚拟设备都有自己的IP地址,并可以在不同的虚拟设备上运行不同的操作系统。例如你可以创建虚拟的电子邮件 服务器来引诱垃圾邮件发送者等等(不过请记住,根据操作系统的不同,你可能需要为虚拟服务器购买使用许可)。
你甚至可以在蜜网上增加假的802.11无线接入点。由于无线网络是入侵者最喜欢的攻击目标,因此“蜜WAP”能够吸引和迷惑那些查找开放无线网络的人。Black Alchemy公司的FakeAP就是一款可以在Linux上运行,并能创建53000个假登录点的开源程序。你可以在http://www.blackalchemy.to/project/fakeap/下载。
蜜罐软件
其他能够用来设立陷阱的蜜罐/蜜网软件还有:
Honeyd是能够创建多个可以配置不同操作系统和服务的虚拟主机的Linux后台程序。单独一台设备能够模拟出超过65,000台网络设备,还可以对虚拟设备进行ping和traceroute 操作。你可以在http://www.citi.umich.edu/u/provos/honeyd/下载并找到更多讯息:这里甚至还有Windows版本的Honeyd。
HoneyBOT是一款能够在网络上模仿超过1000个易受攻击的服务的Windows蜜罐程序,可以捕获和记录入侵和袭击企图。它运行于Windows 2000及以上版本,是AtomicSfotwareSolutions公司的产品。你可以在以下地址免费下载使用http://www.atomicsoftwaresolutions.com/honeybot.php
NetBait能够建立假网,将入侵者的注意力从实际网络转向假网。这个软件可扩展性强,既有针对中小企业的版本,也有企业级版本。其前身是一个基于网络的客户现场服务, 后来则作为内部解决方案使用。你可以在http://www2.netbaitinc.com:5080/products/了解到更多信息。
Honeywall是一张可以用来实施蜜网的CD-ROM,可以在蜜网项目网站http://www.honeynet.org/tools/cdrom/上下载。
随着您越来越深入的了解蜜网项目,您就可以使用专用的模拟特殊类型服务或服务器的软件产品。例如:
Spampot是能够模拟开放转发的虚拟SMTP服务器 ,可在http://woozle.org/~neale/src/python/spampot.py 下载。
ProxyPot模拟开放proxy,专为截获垃圾邮件发送者而设计。Sandtrap是wardialer侦测器,能够模拟开放的调制解调器,然后记录呼叫者ID和登录企图信息。
--
原文链接: http://www.ccw.com.cn/cio/research/info/htm2006/20060626_193094.asp
|