高速发展
个人、企业以及政府部门越来越多地依靠网络传递信息然而网络开放性和共享性使它正遭受着来自黑客、脚本编辑者所带来巨大安全威胁分布式拒绝服务攻击、被控主机敏感信息窃取严重地影响了网路正常工作
个安全可靠防御网络成为现在安全领域个热点
究其根源是攻击者和防御者的间在进行着场不对称博弈特别是信息上不对称攻击者可以利用扫描、探测等系列技术手段全面获取攻击目标信息而防御者对他所受到安全威胁无所知即使在被攻陷后还很难了解攻击者来源、攻击思路方法和攻击目标蜜网技术就是为了扭转这种不对称局面而提出
1 蜜网技术原理
蜜网技术实质上仍是种蜜罐技术是种对攻击者进行欺骗技术通过布置些作为诱饵主机、网络服务以及信息诱使攻击者对他们进行攻击减少对实际系统所造成安全威胁但蜜网有其自身特点:首先蜜网是由多个蜜罐以及防火墙、入侵防御系统、系统行为记录、自动报警、辅助分析等系列系统和工具所组成整套体系结构这种体系结构创建了个高度可控网络使得安全研究人员可以控制和监视其中所有攻击活动从而去了解攻击者攻击工具、思路方法和动机其次蜜网是种高交互型用来获取广泛安全信息蜜罐高交互意味着蜜网是用真实系统应用
以及服务来和攻击者进行交互
蜜网体系结构具有 3大关键需求:即数据控制、数据捕获和数据分析数据控制是对攻击者在蜜网中对第 3方发起攻击行为进行限制机制用以降低部署蜜网所带来安全风险最大挑战在于对攻击数据流进行控制而不能让攻击者怀疑:我们必须要给攻击者定自由度允许他们做大部分“合法”事情比如从网络上下载入侵工具包等这样才能获取信息学习他们攻击思路方法但是要拒绝所有攻击其它机器行为这就需要个自由度和安全性权衡数据捕获即监控和记录攻击者在蜜网内所有行为最大挑战在于要搜集尽可能多数据而又不被攻击者所察觉数据分析则是对捕获到攻击数据进行整理和融合以辅助安全专家从中分析出这些数据背后蕴涵攻击工具、思路方法、技术和动机在分布式部署蜜网体系中还存在着将多个蜜网中捕获数据进行安全地传输到台中央服务器并进行集中化分析分布式数据收集需求
2 基于LINUX蜜网防御系统实现
本系统中使用IP分布如下:
vulnerabiliable
Honeynet |Group |Roxen+DNS+Apache |Theseareourhoneypots但可以通过Apache能够给用户个nobodyshell再使用EOE防止普通用户成为root这样限制了攻击者所能做事在此基础上增加策略:
(1)有主机都可以通过ssh或MYSQL连通/firewall;
(2)有主机都可以连接到honeynet这个组;
(3)honeynet允许连接到任意主机;
(4)除了以上的外所有通信都被拦截;
(5)所有防火墙允许通过数据都记录
因此策略可以有下面 4条:
首先在MYSQL中建立snort和ssyslog用户并分别给他们对各自数据库INSERTDELETEUSAGESELECT权限思路方法如下:
SELECT _disibledevent=>入侵检测系统配置
作为个Honeynet有大量数据需要手工分析IDS在这里可以起到很大帮助主机型入侵检测系统往往以系统日志、应用日志等作为数据源它保护般是所在系统网络型入侵检测系统数据源则是网络上数据包往往将台主机网卡设于混杂模式(promiscmode)监听所有本网段内数据包并进行判断般网络型入侵检测系统担负着保护整个网段任务作为Honeynet从目考虑我们需要捕获网络及主机上所有信息这时主机IDS必要性不是非常明显所以主机只要能够阻止用户执行shell或者成为超级用户就可以了网络层使用snort作为入侵检测记录工具
主机IDS:EyeonExec如我们上面所说EyeonExec就是个阻止用户执行shell或者成为超级用户微型HIDS它可以在发现这样企图后报警并且发送mail给系统管理员
网络IDS:Snort
把snort配置为记录所有连接情况HoneynetProject提供了份snort.conf文件在此snort是充当了嗅探器作用不用再加载个sn
fer这样可以减轻系统负载; 2是旦snort没有发现攻击特征我们还可以通过连接记录情况来发现入侵企图
配置VirtualHoneynet
虚拟Honeynet通常依靠某些模拟软件Software在个操作系统上同时运行几个虚拟系统User-Mode-Linux来实现在Linux中运行Linux功能创建内核通常加上“ARCH=um”比如你用makex config现在就需要用make xfocus ARCH= um然后“make dep ARCH=um”、“make linux ARCH=um”编译完成后你会得到个名为“linux”可执行文件
创建root file system文件并以此作为UML启动参数可以在台真实机器上用区别root file system来启动UML
虚拟系统启动
用命令启动虚拟系统
Linux ubd0=rootfs.rh72.pristine.bz2ubd1=swap eth0= mcast umn=10.10.10.50
以root登陆系统密码为空然后对虚拟系统进行配置同时可以将日志记录等级设为最高
陷阱Ssyslog
前面我们提到过将syslog更改并且将日志发送到MYSQL中现在我们再做次同样工作只是这次我们是在虚拟机器中这么做日志仍然发送到真实(物理)机器上MYSQL数据库中
日志服务器配置:你也可以配置Snare将日志存放于远程服务器上这里可以存放在我们真实(物理)机器上或者我们可以设置严格ACL来管理日志或者只允许日志以appen _disibledevent=>3 防御系统应用例子
我们所部署防御系统中虚拟Linux蜜罐主机被黑客所攻陷并被用以进步对外发起扫描和攻击此攻击整个捕获和分析过程如下:
(1)自动告警工具发出告警邮件显示虚拟Linux蜜罐主机有向外HTTP端口网络连接 (2)通过查看HoneyWall上snort报警信息发现黑客通过攻击Linux蜜罐主机smbd服务漏洞攻陷主机并获得个root权限shell
(3)进步查看黑客攻陷蜜罐主机后行为发现黑客连续下载后门工具以替换系统文件如sshd和login等同时也下载了些批量扫描和攻击(autorooter)工具如SCANTD等并不断地对外部主机137端口进行扫描由于Honeywall上IPTables对外发出连接数进行了限制结果黑客并没有利用我们蜜罐主机攻陷任何其他主机
4 防御系统实现主要问题分析
在防御系统中设置蜜网目就是要诱人攻击以便了解和研究黑客所采用技术提升网络防御能力所以系统务必提供真实有效服务以便迷惑入侵者而且要能对所有进出数据能够进行监控以避免无法控制局面出现
在防御系统中我们主要针对3个方面问题:
(1)如何诱惑入侵为了吸引入侵者需要构建个具有网络流量仿真能力模拟网作为Honeynet然后利用端口映射和重定向技术将它转向到个HoneynetlP地址中对其行为进行监控得到入侵者使用主要技术同时牵制他们主要攻击精力保证正常网络安全
(2)如何控制信息信息控制是种规则必须保证旦Honeynet被攻陷不会出现无法控制局面避免对所保护网络安全造成危害难点在于如何在控制住数据流量同时又不引起入侵者怀疑当入侵者突破Honeynet后他们将进行网络连接以便从网络上获取攻击力量等我们必须允许他们做大部分“合法”事情但应防止对其他系统攻击可以使用多层次控制避免单点失效同时使用人工实时监控旦入侵者活跃范围超越了受控制范围马上终止所有连接
(3)如何实现数据捕获数据捕获主要是指IDS日志和蜜网中主机系统日志即“多重捕获”对于高明入侵者在攻入系统后会试图更改甚至销毁目标主机上易于暴露入侵行为各种记录蜜网“多重捕获”措施就是在确保不被入侵者发现前提下捕获攻击行为信息IDS在数据链路层对蜜网中网络数据流进行监控!分析和抓取以便将来能够重现攻击行为蜜网中主机除了使用操作系统自身提供日志功能外还可以利用第 3方软件Software加强日志功能并且传输到安全级别更高服务器上进行备份
5 结束语
蜜网是个很有价值资源通过研究运用蜜网技术深入了解已知攻击!发现未知攻击进而根据攻击深度更新完善网络防御系统随着各种新观点和技术还在不断出现相信它会开辟出网络安全主动防御领域个新方向并具有广阔应用前景 
最新评论