用honeypot檢測網絡入侵
近幾年來,很少有人會否認信息安全已經成為網絡管理員所面對的最嚴重問題。管理員必須花費大量的時間來確保他的網絡已經安裝了最新的安全補丁以及防火墻,同時入侵檢測系統也能夠記錄所有的可疑活動。不幸的是,當前的防火墻和入侵檢測系統已經不再像以前那樣有效了,因為隨著網絡的不安全因素的增多,防火墻和入侵檢測系統的日志內容也日益龐大,甚至有些系統每天的日志量就達1GB。在這個少花錢多辦事的世界里,企業再也沒有過多的人力用來每天處理如此大量的日志內容了。
我并不是說防火墻日志和入侵檢測系統的報告是毫無價值的。事實上它們確實認真地履行了各自的任務。不過當你看到如此大量的信息和報告,而其中大部分都是對系統沒有威脅的無目的的掃描時,你肯定會感到很沮喪。難道真的沒有一種更好的安全防范方法么?
Honeypot解決信息過量問題
從某些角度來說,honeypot也許是一個更好的方法。Honeypot主要分為兩類,真實的和虛擬的,這兩類都是入侵者的誘餌。Honeypot這個概念來自幾年前,那時候網絡管理員希望有一種方法來找出到底是誰在探測網絡。有句至理名言說“要想人不知,除非己莫為”,如果有人在探測網絡,只要他向外發送數據,就一定會被察覺。因此有人利用了這個道理,在網絡中建立了一個誘餌系統,它可以不時地向外發送與Windows網絡服務有關的數據包,而那些監聽網絡的黑客獲取數據包后,肯定會通過DNS查詢來確定這個誘餌系統的更多資料。一旦DNS查詢完成,則發送查詢的主機名和IP地址包括查詢時間就都會被記錄下來。
由于這種技術提出的較早,因此誘餌系統或者說是honeypots發展的非常迅速。到目前,有不少公司都能提供多種honeypot解決方案。如果你關注網絡安全,那么honeypot系統確實能讓你獲益匪淺。但在應用honeypot系統前,你需要在真實的honeypot或虛擬honeypot之間做個選擇。
真實vs虛擬
對于真實或是虛擬honeypot的選擇方面,你需要考慮的是風險和回報。虛擬honeypot比較廉價,但也有一定安全風險,它在抓住黑客方面做得沒有真實的honeypot好。另一方面,雖然真實的honeypot在入侵檢測方面比虛擬honeypot好很多,但最頂級的黑客有可能利用真實的honeypot接管你的網絡。
虛擬honeypot的優勢
虛擬honeypot說白了是一個仿真程序。比如虛擬honeypot一般可以仿真FTP服務器,并監視所有的TCP和UDP端口并記錄所有端口的活動情況。當黑客發現這個虛假的(他本人不知道)FTP時,就會試圖開啟一個FTP對話。這時虛擬FTP服務器(虛擬honeypot)就會記錄下這個黑客的所有活動。比如honeypot會記錄下哪個端口被使用、采用何種認證機制等。而虛擬FTP服務器會和真正的FTP服務器一樣對黑客的行為作出響應。更好的是,由于這是個虛擬的FTP服務器,它沒有真正的操作系統,因此就算黑客攻入了FTP,也不會進一步控制你網絡中的其它電腦。
理論上說,這個方法相當好,它使用起來相當安全,并且可以捕獲大量的有用信息。比如,如果獲取了黑客登錄時的憑證,你就可以查出到底是哪個帳戶被攻擊了,這樣就可以作出相應的補救動作。不過它的全部優勢也就是這些了。
虛擬honeypot的劣勢
對于虛擬honeypot來說,有兩點最主要的不足。首先,它只能愚弄那些初級黑客。你要記住,虛擬honeypot并沒有一個真正的操作系統支撐(有的解決方案中內嵌了簡單的Windows或Linux)。因此有經驗的黑客會發現很多命令在這臺主機中不起作用。這會使他立即知道自己進入的只是一臺honeypot,而不是真正的服務器。
虛擬honeypot的另一個不足是它記錄的信息種類有限。比如一個虛擬honeypot偽裝成FTP服務器,那么它就只能獲取和FTP相關的信息。當然,大部分虛擬honeypot還可以獲取端口掃描和其它一些基本的攻擊信息。然而,如果一個黑客利用IPv6端口發送加密的信息又會如何呢?由于虛擬honeypot功能有限,它無法記錄這類的問題。簡單說,虛擬honeypot可以檢測并記錄已知的攻擊種類,但對于新型的攻擊卻沒什么用處。
真實honeypot的優勢
一個真正的honeypot,是一個或多個真實的系統組成的誘餌系統。由于它是帶有操作系統的真實系統,因此它對于黑客的操作響應與網絡上其它主機完全一樣。這有好處也有壞處。好處是,黑客幾乎不可能察覺到他們已經進入了一個陷阱,而不是真正的實用網絡。實際上,唯一能讓黑客起疑心的現象就是那些不太完善的honeypot網絡沒有采取任何正常的安全更新措施。
真實的honeypot最大的優點就在于入侵檢測能力。系統會假定任何發送到honeypot網絡的數據都是帶有惡意的,因此完全不用擔心黑客會采用什么新方法而不被honeypot捕獲。黑客的任何操作都會被真實的honeypot記錄下來。
真實honeypot的劣勢
真實的honeypot也有不足,它有可能被高級黑客征服而變為進攻你的正常網絡的跳板。為了防止這種情況,你需要在honeypot網絡與正常網絡間架設防火墻,以阻擋二者間的任何數據通信。更復雜的Linux honeypot帶有防止黑客入侵正常網絡的功能,而對于Windows上的honeypot,目前還沒有類似的功能。
真實明顯優于虛擬
從多種環境考慮,真實的honeypot比虛擬honeypot更具優勢。不過在你購買真實honeypot之前,你應該了解一下它的成本。除了購買機器外,你還需要購買操作系統以及其它安裝在真實honeypot上的軟件。最后你還要做好真實的honeypot會被最頂尖的黑客攻破的準備。
