用honeypot檢測網(wǎng)絡(luò)入侵
近幾年來,很少有人會否認信息安全已經(jīng)成為網(wǎng)絡(luò)管理員所面對的最嚴重問題。管理員必須花費大量的時間來確保他的網(wǎng)絡(luò)已經(jīng)安裝了最新的安全補丁以及防火墻,同時入侵檢測系統(tǒng)也能夠記錄所有的可疑活動。不幸的是,當前的防火墻和入侵檢測系統(tǒng)已經(jīng)不再像以前那樣有效了,因為隨著網(wǎng)絡(luò)的不安全因素的增多,防火墻和入侵檢測系統(tǒng)的日志內(nèi)容也日益龐大,甚至有些系統(tǒng)每天的日志量就達1GB。在這個少花錢多辦事的世界里,企業(yè)再也沒有過多的人力用來每天處理如此大量的日志內(nèi)容了。
我并不是說防火墻日志和入侵檢測系統(tǒng)的報告是毫無價值的。事實上它們確實認真地履行了各自的任務。不過當你看到如此大量的信息和報告,而其中大部分都是對系統(tǒng)沒有威脅的無目的的掃描時,你肯定會感到很沮喪。難道真的沒有一種更好的安全防范方法么?
Honeypot解決信息過量問題
從某些角度來說,honeypot也許是一個更好的方法。Honeypot主要分為兩類,真實的和虛擬的,這兩類都是入侵者的誘餌。Honeypot這個概念來自幾年前,那時候網(wǎng)絡(luò)管理員希望有一種方法來找出到底是誰在探測網(wǎng)絡(luò)。有句至理名言說“要想人不知,除非己莫為”,如果有人在探測網(wǎng)絡(luò),只要他向外發(fā)送數(shù)據(jù),就一定會被察覺。因此有人利用了這個道理,在網(wǎng)絡(luò)中建立了一個誘餌系統(tǒng),它可以不時地向外發(fā)送與Windows網(wǎng)絡(luò)服務有關(guān)的數(shù)據(jù)包,而那些監(jiān)聽網(wǎng)絡(luò)的黑客獲取數(shù)據(jù)包后,肯定會通過DNS查詢來確定這個誘餌系統(tǒng)的更多資料。一旦DNS查詢完成,則發(fā)送查詢的主機名和IP地址包括查詢時間就都會被記錄下來。
由于這種技術(shù)提出的較早,因此誘餌系統(tǒng)或者說是honeypots發(fā)展的非常迅速。到目前,有不少公司都能提供多種honeypot解決方案。如果你關(guān)注網(wǎng)絡(luò)安全,那么honeypot系統(tǒng)確實能讓你獲益匪淺。但在應用honeypot系統(tǒng)前,你需要在真實的honeypot或虛擬honeypot之間做個選擇。
真實vs虛擬
對于真實或是虛擬honeypot的選擇方面,你需要考慮的是風險和回報。虛擬honeypot比較廉價,但也有一定安全風險,它在抓住黑客方面做得沒有真實的honeypot好。另一方面,雖然真實的honeypot在入侵檢測方面比虛擬honeypot好很多,但最頂級的黑客有可能利用真實的honeypot接管你的網(wǎng)絡(luò)。
虛擬honeypot的優(yōu)勢
虛擬honeypot說白了是一個仿真程序。比如虛擬honeypot一般可以仿真FTP服務器,并監(jiān)視所有的TCP和UDP端口并記錄所有端口的活動情況。當黑客發(fā)現(xiàn)這個虛假的(他本人不知道)FTP時,就會試圖開啟一個FTP對話。這時虛擬FTP服務器(虛擬honeypot)就會記錄下這個黑客的所有活動。比如honeypot會記錄下哪個端口被使用、采用何種認證機制等。而虛擬FTP服務器會和真正的FTP服務器一樣對黑客的行為作出響應。更好的是,由于這是個虛擬的FTP服務器,它沒有真正的操作系統(tǒng),因此就算黑客攻入了FTP,也不會進一步控制你網(wǎng)絡(luò)中的其它電腦。
理論上說,這個方法相當好,它使用起來相當安全,并且可以捕獲大量的有用信息。比如,如果獲取了黑客登錄時的憑證,你就可以查出到底是哪個帳戶被攻擊了,這樣就可以作出相應的補救動作。不過它的全部優(yōu)勢也就是這些了。
虛擬honeypot的劣勢
對于虛擬honeypot來說,有兩點最主要的不足。首先,它只能愚弄那些初級黑客。你要記住,虛擬honeypot并沒有一個真正的操作系統(tǒng)支撐(有的解決方案中內(nèi)嵌了簡單的Windows或Linux)。因此有經(jīng)驗的黑客會發(fā)現(xiàn)很多命令在這臺主機中不起作用。這會使他立即知道自己進入的只是一臺honeypot,而不是真正的服務器。
虛擬honeypot的另一個不足是它記錄的信息種類有限。比如一個虛擬honeypot偽裝成FTP服務器,那么它就只能獲取和FTP相關(guān)的信息。當然,大部分虛擬honeypot還可以獲取端口掃描和其它一些基本的攻擊信息。然而,如果一個黑客利用IPv6端口發(fā)送加密的信息又會如何呢?由于虛擬honeypot功能有限,它無法記錄這類的問題。簡單說,虛擬honeypot可以檢測并記錄已知的攻擊種類,但對于新型的攻擊卻沒什么用處。
真實honeypot的優(yōu)勢
一個真正的honeypot,是一個或多個真實的系統(tǒng)組成的誘餌系統(tǒng)。由于它是帶有操作系統(tǒng)的真實系統(tǒng),因此它對于黑客的操作響應與網(wǎng)絡(luò)上其它主機完全一樣。這有好處也有壞處。好處是,黑客幾乎不可能察覺到他們已經(jīng)進入了一個陷阱,而不是真正的實用網(wǎng)絡(luò)。實際上,唯一能讓黑客起疑心的現(xiàn)象就是那些不太完善的honeypot網(wǎng)絡(luò)沒有采取任何正常的安全更新措施。
真實的honeypot最大的優(yōu)點就在于入侵檢測能力。系統(tǒng)會假定任何發(fā)送到honeypot網(wǎng)絡(luò)的數(shù)據(jù)都是帶有惡意的,因此完全不用擔心黑客會采用什么新方法而不被honeypot捕獲。黑客的任何操作都會被真實的honeypot記錄下來。
真實honeypot的劣勢
真實的honeypot也有不足,它有可能被高級黑客征服而變?yōu)檫M攻你的正常網(wǎng)絡(luò)的跳板。為了防止這種情況,你需要在honeypot網(wǎng)絡(luò)與正常網(wǎng)絡(luò)間架設(shè)防火墻,以阻擋二者間的任何數(shù)據(jù)通信。更復雜的Linux honeypot帶有防止黑客入侵正常網(wǎng)絡(luò)的功能,而對于Windows上的honeypot,目前還沒有類似的功能。
真實明顯優(yōu)于虛擬
從多種環(huán)境考慮,真實的honeypot比虛擬honeypot更具優(yōu)勢。不過在你購買真實honeypot之前,你應該了解一下它的成本。除了購買機器外,你還需要購買操作系統(tǒng)以及其它安裝在真實honeypot上的軟件。最后你還要做好真實的honeypot會被最頂尖的黑客攻破的準備。
