在入侵檢測防護策略中加入蜜罐

申請免費試用、咨詢電話：400-8352-114

您是否準備好超越平常的抵御入侵者的方法，掌握更多的主動權(quán)？不用再坐等入侵者進犯，現(xiàn)在你可以利用偽裝服務(wù)器或者偽裝網(wǎng)絡(luò)引誘（有些情況下甚至是捕獲）入侵者，我 們稱之為蜜罐（honeypot）或蜜網(wǎng)（honeynet）。

入侵檢測和入侵防護是IT安全規(guī)劃的重要目標，最好的入侵檢測/防護策略會結(jié)合使用多種方法。以前我曾經(jīng)談到過如何選擇能與業(yè)務(wù)一同發(fā)展的IDS/IPS工具或者軟件產(chǎn)品。這里 將介紹一種相應(yīng)的防御入侵者企破壞網(wǎng)絡(luò)安全的方法。某些組織機構(gòu)采用更為主動的方法，即設(shè)置“蜜罐”——一臺偽裝成實際的生產(chǎn)用設(shè)備的服務(wù)器，而它的實際用途只是要吸 引黑客。甚至有時整個網(wǎng)絡(luò)都由這樣的設(shè)備組成(經(jīng)常是在某臺服務(wù)器上運行的多個虛擬服務(wù)器)。下面介紹如何在您的入侵檢測和入侵防護策略中加入蜜罐或蜜網(wǎng)，以及它們?nèi)绾?成為網(wǎng)絡(luò)中“真實”的一部分。

蜜網(wǎng)工作方式

蜜罐或蜜網(wǎng)是網(wǎng)上“針刺” 操作的基礎(chǔ)：它能夠誘敵深入，不用冒著暴露生產(chǎn)網(wǎng)絡(luò)的風險就可以追蹤入侵者的行為。這一方法目前是如此流行，以至于有了自己的博客網(wǎng)站：honeyblog。

雖然蜜罐電腦看似網(wǎng)絡(luò)的一部分，但實際上與網(wǎng)絡(luò)隔絕并有所保護，因此闖入蜜罐電腦的入侵者無法觸及網(wǎng)絡(luò)的其他部分。蜜罐的誘惑力源自其上所儲存的資源，這些資源看起來 很象敏感或者保密的文件，能夠提起黑客的興趣。蜜罐處于嚴密監(jiān)視下，入侵者很早就會被偵測出來，并能追查到黑客的源頭。

蜜罐還有一個次要的作用就是轉(zhuǎn)移入侵者的注意力，從而保護生產(chǎn)網(wǎng)絡(luò)。

實施蜜罐或蜜網(wǎng)
一旦您決定在入侵檢測/入侵防護策略上加點“蜜”，你就需要確定以下問題：

在網(wǎng)絡(luò)何處安置蜜罐/蜜網(wǎng)

實施單一的蜜罐還是多計算機的蜜網(wǎng)

使用實體設(shè)備、虛擬軟件還是使用專為實施蜜罐設(shè)計的多設(shè)備模擬蜜罐軟件。

蜜罐的安置

你可以將蜜罐放置在內(nèi)部網(wǎng)上，但是你的網(wǎng)絡(luò)防護措施會保護蜜罐免受來自互聯(lián)網(wǎng)的入侵者的襲擊。內(nèi)網(wǎng)蜜罐因此可以用來偵測來自LAN內(nèi)部的襲擊。如果內(nèi)網(wǎng)蜜罐遭到來自互聯(lián)網(wǎng) 的襲擊，就說明網(wǎng)絡(luò)邊界的安全措施不夠完善。如果蜜罐的吸引力夠大，就可以保護任務(wù)關(guān)鍵內(nèi)部服務(wù)器在安全措施不完備的情況下不會首先遭到入侵。

許多組織機構(gòu)直接將蜜罐連入互聯(lián)網(wǎng)。這樣使得蜜罐很容易遭到襲擊，經(jīng)常會出現(xiàn)大量的入侵。因此，這樣的蜜罐對于老練的黑客來說可能有一些可疑。

最常使用的方法是將蜜罐安置在DMZ或者網(wǎng)絡(luò)邊界上，就是位于互聯(lián)網(wǎng)和內(nèi)部LAN之間有防火墻保護的子網(wǎng)。

蜜罐或者虛擬蜜網(wǎng)設(shè)備應(yīng)該僅作為檢測系統(tǒng)使用，而不用做其他用途。

蜜網(wǎng)的擴展

對于小型企業(yè)來說，單一的蜜罐服務(wù)器已經(jīng)足夠。隨著企業(yè)的成長，企業(yè)會更熟練的掌握使用蜜罐誘捕入侵者的方法，就可以創(chuàng)建蜜罐組成的網(wǎng)絡(luò)，也就是蜜網(wǎng)。為了構(gòu)建蜜網(wǎng)而 購買多臺設(shè)備成本頗高，但你可以使用VMWare或者微軟公司的Virtual PC/Virtual Server等虛擬化軟件建立幾十臺易受攻擊的服務(wù)器等候被襲。每臺虛擬設(shè)備都有自己的IP地址，并可以在不同的虛擬設(shè)備上運行不同的操作系統(tǒng)。例如你可以創(chuàng)建虛擬的電子郵件 服務(wù)器來引誘垃圾郵件發(fā)送者等等（不過請記住，根據(jù)操作系統(tǒng)的不同，你可能需要為虛擬服務(wù)器購買使用許可）。

你甚至可以在蜜網(wǎng)上增加假的802.11無線接入點。由于無線網(wǎng)絡(luò)是入侵者最喜歡的攻擊目標，因此“蜜WAP”能夠吸引和迷惑那些查找開放無線網(wǎng)絡(luò)的人。Black Alchemy公司的FakeAP就是一款可以在Linux上運行，并能創(chuàng)建53000個假登錄點的開源程序。你可以在http://www.blackalchemy.to/project/fakeap/下載。

蜜罐軟件

其他能夠用來設(shè)立陷阱的蜜罐/蜜網(wǎng)軟件還有：

Honeyd是能夠創(chuàng)建多個可以配置不同操作系統(tǒng)和服務(wù)的虛擬主機的Linux后臺程序。單獨一臺設(shè)備能夠模擬出超過65,000臺網(wǎng)絡(luò)設(shè)備，還可以對虛擬設(shè)備進行ping和traceroute 操作。你可以在http://www.citi.umich.edu/u/provos/honeyd/下載并找到更多訊息：這里甚至還有Windows版本的Honeyd。

HoneyBOT是一款能夠在網(wǎng)絡(luò)上模仿超過1000個易受攻擊的服務(wù)的Windows蜜罐程序，可以捕獲和記錄入侵和襲擊企圖。它運行于Windows 2000及以上版本，是AtomicSfotwareSolutions公司的產(chǎn)品。你可以在以下地址免費下載使用http://www.atomicsoftwaresolutions.com/honeybot.php

NetBait能夠建立假網(wǎng)，將入侵者的注意力從實際網(wǎng)絡(luò)轉(zhuǎn)向假網(wǎng)。這個軟件可擴展性強，既有針對中小企業(yè)的版本，也有企業(yè)級版本。其前身是一個基于網(wǎng)絡(luò)的客戶現(xiàn)場服務(wù)， 后來則作為內(nèi)部解決方案使用。你可以在http://www2.netbaitinc.com:5080/products/了解到更多信息。

Honeywall是一張可以用來實施蜜網(wǎng)的CD-ROM，可以在蜜網(wǎng)項目網(wǎng)站http://www.honeynet.org/tools/cdrom/上下載。
隨著您越來越深入的了解蜜網(wǎng)項目，您就可以使用專用的模擬特殊類型服務(wù)或服務(wù)器的軟件產(chǎn)品。例如：

Spampot是能夠模擬開放轉(zhuǎn)發(fā)的虛擬SMTP服務(wù)器 ，可在http://woozle.org/~neale/src/python/spampot.py 下載。

ProxyPot模擬開放proxy,專為截獲垃圾郵件發(fā)送者而設(shè)計。Sandtrap是wardialer偵測器，能夠模擬開放的調(diào)制解調(diào)器，然后記錄呼叫者ID和登錄企圖信息。 (techtarget)