用honeypot檢測(cè)網(wǎng)絡(luò)入侵
近幾年來,很少有人會(huì)否認(rèn)信息安全已經(jīng)成為網(wǎng)絡(luò)管理員所面對(duì)的最嚴(yán)重問題。管理員必須花費(fèi)大量的時(shí)間來確保他的網(wǎng)絡(luò)已經(jīng)安裝了最新的安全補(bǔ)丁以及防火墻,同時(shí)入侵檢測(cè)系統(tǒng)也能夠記錄所有的可疑活動(dòng)。不幸的是,當(dāng)前的防火墻和入侵檢測(cè)系統(tǒng)已經(jīng)不再像以前那樣有效了,因?yàn)殡S著網(wǎng)絡(luò)的不安全因素的增多,防火墻和入侵檢測(cè)系統(tǒng)的日志內(nèi)容也日益龐大,甚至有些系統(tǒng)每天的日志量就達(dá)1GB。在這個(gè)少花錢多辦事的世界里,企業(yè)再也沒有過多的人力用來每天處理如此大量的日志內(nèi)容了。
我并不是說防火墻日志和入侵檢測(cè)系統(tǒng)的報(bào)告是毫無價(jià)值的。事實(shí)上它們確實(shí)認(rèn)真地履行了各自的任務(wù)。不過當(dāng)你看到如此大量的信息和報(bào)告,而其中大部分都是對(duì)系統(tǒng)沒有威脅的無目的的掃描時(shí),你肯定會(huì)感到很沮喪。難道真的沒有一種更好的安全防范方法么?
Honeypot解決信息過量問題
從某些角度來說,honeypot也許是一個(gè)更好的方法。Honeypot主要分為兩類,真實(shí)的和虛擬的,這兩類都是入侵者的誘餌。Honeypot這個(gè)概念來自幾年前,那時(shí)候網(wǎng)絡(luò)管理員希望有一種方法來找出到底是誰在探測(cè)網(wǎng)絡(luò)。有句至理名言說“要想人不知,除非己莫為”,如果有人在探測(cè)網(wǎng)絡(luò),只要他向外發(fā)送數(shù)據(jù),就一定會(huì)被察覺。因此有人利用了這個(gè)道理,在網(wǎng)絡(luò)中建立了一個(gè)誘餌系統(tǒng),它可以不時(shí)地向外發(fā)送與Windows網(wǎng)絡(luò)服務(wù)有關(guān)的數(shù)據(jù)包,而那些監(jiān)聽網(wǎng)絡(luò)的黑客獲取數(shù)據(jù)包后,肯定會(huì)通過DNS查詢來確定這個(gè)誘餌系統(tǒng)的更多資料。一旦DNS查詢完成,則發(fā)送查詢的主機(jī)名和IP地址包括查詢時(shí)間就都會(huì)被記錄下來。
由于這種技術(shù)提出的較早,因此誘餌系統(tǒng)或者說是honeypots發(fā)展的非常迅速。到目前,有不少公司都能提供多種honeypot解決方案。如果你關(guān)注網(wǎng)絡(luò)安全,那么honeypot系統(tǒng)確實(shí)能讓你獲益匪淺。但在應(yīng)用honeypot系統(tǒng)前,你需要在真實(shí)的honeypot或虛擬honeypot之間做個(gè)選擇。
真實(shí)vs虛擬
對(duì)于真實(shí)或是虛擬honeypot的選擇方面,你需要考慮的是風(fēng)險(xiǎn)和回報(bào)。虛擬honeypot比較廉價(jià),但也有一定安全風(fēng)險(xiǎn),它在抓住黑客方面做得沒有真實(shí)的honeypot好。另一方面,雖然真實(shí)的honeypot在入侵檢測(cè)方面比虛擬honeypot好很多,但最頂級(jí)的黑客有可能利用真實(shí)的honeypot接管你的網(wǎng)絡(luò)。
虛擬honeypot的優(yōu)勢(shì)
虛擬honeypot說白了是一個(gè)仿真程序。比如虛擬honeypot一般可以仿真FTP服務(wù)器,并監(jiān)視所有的TCP和UDP端口并記錄所有端口的活動(dòng)情況。當(dāng)黑客發(fā)現(xiàn)這個(gè)虛假的(他本人不知道)FTP時(shí),就會(huì)試圖開啟一個(gè)FTP對(duì)話。這時(shí)虛擬FTP服務(wù)器(虛擬honeypot)就會(huì)記錄下這個(gè)黑客的所有活動(dòng)。比如honeypot會(huì)記錄下哪個(gè)端口被使用、采用何種認(rèn)證機(jī)制等。而虛擬FTP服務(wù)器會(huì)和真正的FTP服務(wù)器一樣對(duì)黑客的行為作出響應(yīng)。更好的是,由于這是個(gè)虛擬的FTP服務(wù)器,它沒有真正的操作系統(tǒng),因此就算黑客攻入了FTP,也不會(huì)進(jìn)一步控制你網(wǎng)絡(luò)中的其它電腦。
理論上說,這個(gè)方法相當(dāng)好,它使用起來相當(dāng)安全,并且可以捕獲大量的有用信息。比如,如果獲取了黑客登錄時(shí)的憑證,你就可以查出到底是哪個(gè)帳戶被攻擊了,這樣就可以作出相應(yīng)的補(bǔ)救動(dòng)作。不過它的全部?jī)?yōu)勢(shì)也就是這些了。
虛擬honeypot的劣勢(shì)
對(duì)于虛擬honeypot來說,有兩點(diǎn)最主要的不足。首先,它只能愚弄那些初級(jí)黑客。你要記住,虛擬honeypot并沒有一個(gè)真正的操作系統(tǒng)支撐(有的解決方案中內(nèi)嵌了簡(jiǎn)單的Windows或Linux)。因此有經(jīng)驗(yàn)的黑客會(huì)發(fā)現(xiàn)很多命令在這臺(tái)主機(jī)中不起作用。這會(huì)使他立即知道自己進(jìn)入的只是一臺(tái)honeypot,而不是真正的服務(wù)器。
虛擬honeypot的另一個(gè)不足是它記錄的信息種類有限。比如一個(gè)虛擬honeypot偽裝成FTP服務(wù)器,那么它就只能獲取和FTP相關(guān)的信息。當(dāng)然,大部分虛擬honeypot還可以獲取端口掃描和其它一些基本的攻擊信息。然而,如果一個(gè)黑客利用IPv6端口發(fā)送加密的信息又會(huì)如何呢?由于虛擬honeypot功能有限,它無法記錄這類的問題。簡(jiǎn)單說,虛擬honeypot可以檢測(cè)并記錄已知的攻擊種類,但對(duì)于新型的攻擊卻沒什么用處。
真實(shí)honeypot的優(yōu)勢(shì)
一個(gè)真正的honeypot,是一個(gè)或多個(gè)真實(shí)的系統(tǒng)組成的誘餌系統(tǒng)。由于它是帶有操作系統(tǒng)的真實(shí)系統(tǒng),因此它對(duì)于黑客的操作響應(yīng)與網(wǎng)絡(luò)上其它主機(jī)完全一樣。這有好處也有壞處。好處是,黑客幾乎不可能察覺到他們已經(jīng)進(jìn)入了一個(gè)陷阱,而不是真正的實(shí)用網(wǎng)絡(luò)。實(shí)際上,唯一能讓黑客起疑心的現(xiàn)象就是那些不太完善的honeypot網(wǎng)絡(luò)沒有采取任何正常的安全更新措施。
真實(shí)的honeypot最大的優(yōu)點(diǎn)就在于入侵檢測(cè)能力。系統(tǒng)會(huì)假定任何發(fā)送到honeypot網(wǎng)絡(luò)的數(shù)據(jù)都是帶有惡意的,因此完全不用擔(dān)心黑客會(huì)采用什么新方法而不被honeypot捕獲。黑客的任何操作都會(huì)被真實(shí)的honeypot記錄下來。
真實(shí)honeypot的劣勢(shì)
真實(shí)的honeypot也有不足,它有可能被高級(jí)黑客征服而變?yōu)檫M(jìn)攻你的正常網(wǎng)絡(luò)的跳板。為了防止這種情況,你需要在honeypot網(wǎng)絡(luò)與正常網(wǎng)絡(luò)間架設(shè)防火墻,以阻擋二者間的任何數(shù)據(jù)通信。更復(fù)雜的Linux honeypot帶有防止黑客入侵正常網(wǎng)絡(luò)的功能,而對(duì)于Windows上的honeypot,目前還沒有類似的功能。
真實(shí)明顯優(yōu)于虛擬
從多種環(huán)境考慮,真實(shí)的honeypot比虛擬honeypot更具優(yōu)勢(shì)。不過在你購(gòu)買真實(shí)honeypot之前,你應(yīng)該了解一下它的成本。除了購(gòu)買機(jī)器外,你還需要購(gòu)買操作系統(tǒng)以及其它安裝在真實(shí)honeypot上的軟件。最后你還要做好真實(shí)的honeypot會(huì)被最頂尖的黑客攻破的準(zhǔn)備。
