隨著Internet的高速發展,個人、企業以及政府部門越來越多地依靠網路傳遞信息,然而網路的開放性與共享性使它正遭受著來自黑客、腳本編輯者所帶來的巨大的安全威脅,分散式拒絕服務攻擊、被控主機敏感信息的竊取,嚴重地影響了網路的正常工作,一個安全可靠的防禦網路成為現在安全領域的一個熱點。究其根源,是攻擊者與防禦者之間在進行著一場不對稱的博弈,特別是信息上的不對稱,攻擊者可以利用掃描、探測等一系列技術手段全面獲取攻擊目標的信息,而防禦者對他所受到的安全威脅一無所知,即使在被攻陷后還很難了解攻擊者的來源、攻擊方法和攻擊目標,蜜網技術就是為了扭轉這種不對稱局面而提出的。
1 蜜網技術原理
蜜網技術實質上仍是一種蜜罐技術,是一種對攻擊者進行欺騙的技術,通過布置一些作為誘餌的主機、網路服務以及信息誘使攻擊者對他們進行攻擊,減少對實際系統所造成的安全威脅。但蜜網有其自身特點:首先,蜜網是由多個蜜罐以及防火牆、入侵防禦系統、系統行為記錄、自動報警、輔助分析等一系列系統和工具所組成的一整套體系結構,這種體系結構創建了一個高度可控的網路,使得安全研究人員可以控制和監視其中的所有攻擊活動,從而去了解攻擊者的攻擊工具、方法和動機。其次,蜜網是一種高交互型的用來獲取廣泛的安全信息的蜜罐,高交互意味著蜜網是用真實的系統,應用程序以及服務來與攻擊者進行交互。
蜜網體系結構具有三大關鍵需求:即數據控制、數據捕獲和數據分析。數據控制是對攻擊者在蜜網中對第三方發起的攻擊行為進行限制的機制,用以降低部署蜜網所帶來的安全風險。最大的挑戰在於對攻擊數據流進行控制而不能讓攻擊者懷疑:我們必須要給攻擊者一定的自由度,允許他們做大部分「合法」的事情,比如從網路上下載入侵工具包等,這樣才能獲取信息,學習他們的攻擊方法,但是要拒絕所有攻擊其它機器的行為,這就需要一個自由度和安全性的權衡。數據捕獲,即監控和記錄攻擊者在蜜網內的所有行為,最大的挑戰在於要搜集儘可能多的數據,而又不被攻擊者所察覺。數據分析則是對捕獲到的攻擊數據進行整理和融合,以輔助安全專家從中分析出這些數據背後蘊涵的攻擊工具、方法、技術和動機,在分散式部署的蜜網體系中,還存在著將多個蜜網中捕獲數據進行安全地傳輸到一台中央伺服器,並進行集中化分析的分散式數據收集需求。
2 基於LINUX蜜網的防禦系統的實現
本系統中使用IP分佈如下:
Name |Type |IPorGroupitems |Description
Firewall |Workstation |10.10.14.11 |honeynetadministrator
Roxen |Workstation |10.10.14.20 |runningtheRoxenwebserver
DNS |Workstation |10.10.14.23 |DNSserver
Apache |Workstation |10.10.14.30 |webserver,vulnerabiliable
Honeynet |Group |Roxen+DNS+Apache |Theseareourhoneypots
本honeynet沒有故意留下了漏洞,但可以通過Apache能夠給用戶一個nobodyshell,再使用EOE防止普通用戶成為root,這樣限制了攻擊者所能做的事。在此基礎上增加策略:
(1)有主機都可以通過ssh或MYSQL連通/firewall;
(2)有主機都可以連接到honeynet這個組;
(3)honeynet允許連接到任意主機;
(4)除了以上之外,所有的通信都被攔截;
(5)所有防火牆允許通過的數據都記錄。
因此策略可以有下面四條:
Num Source Destination Service ActionLog
00 Firewall sshorMySQL AcceptLog
01 honeynet any acceptlog
02 honeynet any anyacceptlog
03 other any droplog
進行日誌伺服器配置
日誌伺服器資料庫採用MYSQL,首先在MYSQL中建立snort和ssyslog的用戶並分別給他們對各自資料庫的INSERT,DELETE,USAGE,SELECT許可權方法如下:
Echo CREATE DATABASE snort; | mysql ? u root - pmypass
mysql> grant INSERT,SELECT on snort.* to root@* ;
入侵檢測系統配置
作為一個Honeynet,有大量的數據需要手工分析,IDS在這裡可以起到很大的幫助。主機型入侵檢測系統往往以系統日誌、應用程序日誌等作為數據源,它保護的一般是所在的系統。網路型入侵檢測系統的數據源則是網路上的數據包。往往將一台主機的網卡設於混雜模式(promiscmode),監聽所有本網段內的數據包並進行判斷。一般網路型入侵檢測系統擔負著保護整個網段的任務。作為Honeynet,從目的考慮,我們需要捕獲網路及主機上的所有信息。這時主機IDS的必要性不是非常明顯,所以主機只要能夠阻止用戶執行shell或者成為超級用戶就可以了。網路層使用snort作為入侵檢測的記錄工具。
主機IDS:EyeonExec如我們上面所說的,EyeonExec就是一個阻止用戶執行shell或者成為超級用戶的微型HIDS,它可以在發現這樣的企圖后報警,並且發送mail給系統管理員。
[火星人
]
基於LINUX蜜網(Honeynet)的防禦系統已經有708次圍觀
http://coctec.com/docs/linux/show-post-203576.html
