|
用honeypot检测网络入侵(1)
近几年来,很少有人会否认信息安全已经成为网络管理员所面对的最严重问题。管理员必须花费大量的时间来确保他的网络已经安装了最新的安全补丁以及防火墙,同时入侵检测系统也能够记录所有的可疑活动。不幸的是,当前的防火墙和入侵检测系统已经不再像以前那样有效了,因为随着网络的不安全因素的增多,防火墙和入侵检测系统的日志内容也日益庞大,甚至有些系统每天的日志量就达1GB。在这个少花钱多办事的世界里,企业再也没有过多的人力用来每天处理如此大量的日志内容了。
我并不是说防火墙日志和入侵检测系统的报告是毫无价值的。事实上它们确实认真地履行了各自的任务。不过当你看到如此大量的信息和报告,而其中大部分都是对系统没有威胁的无目的的扫描时,你肯定会感到很沮丧。难道真的没有一种更好的安全防范方法么?
Honeypot解决信息过量问题
从某些角度来说,honeypot也许是一个更好的方法。Honeypot主要分为两类,真实的和虚拟的,这两类都是入侵者的诱饵。Honeypot这个概念来自几年前,那时候网络管理员希望有一种方法来找出到底是谁在探测网络。有句至理名言说“要想人不知,除非己莫为”,如果有人在探测网络,只要他向外发送数据,就一定会被察觉。因此有人利用了这个道理,在网络中建立了一个诱饵系统,它可以不时地向外发送与Windows网络服务有关的数据包,而那些监听网络的黑客获取数据包后,肯定会通过DNS查询来确定这个诱饵系统的更多资料。一旦DNS查询完成,则发送查询的主机名和IP地址包括查询时间就都会被记录下来。
由于这种技术提出的较早,因此诱饵系统或者说是honeypots发展的非常迅速。到目前,有不少公司都能提供多种honeypot解决方案。如果你关注网络安全,那么honeypot系统确实能让你获益匪浅。但在应用honeypot系统前,你需要在真实的honeypot或虚拟honeypot之间做个选择。
真实vs虚拟
对于真实或是虚拟honeypot的选择方面,你需要考虑的是风险和回报。虚拟honeypot比较廉价,但也有一定安全风险,它在抓住黑客方面做得没有真实的honeypot好。另一方面,虽然真实的honeypot在入侵检测方面比虚拟honeypot好很多,但最顶级的黑客有可能利用真实的honeypot接管你的网络。
虚拟honeypot的优势
虚拟honeypot说白了是一个仿真程序。比如虚拟honeypot一般可以仿真FTP服务器,并监视所有的TCP和UDP端口并记录所有端口的活动情况。当黑客发现这个虚假的(他本人不知道)FTP时,就会试图开启一个FTP对话。这时虚拟FTP服务器(虚拟honeypot)就会记录下这个黑客的所有活动。比如honeypot会记录下哪个端口被使用、采用何种认证机制等。而虚拟FTP服务器会和真正的FTP服务器一样对黑客的行为作出响应。更好的是,由于这是个虚拟的FTP服务器,它没有真正的操作系统,因此就算黑客攻入了FTP,也不会进一步控制你网络中的其它电脑。
理论上说,这个方法相当好,它使用起来相当安全,并且可以捕获大量的有用信息。比如,如果获取了黑客登录时的凭证,你就可以查出到底是哪个帐户被攻击了,这样就可以作出相应的补救动作。不过它的全部优势也就是这些了。
虚拟honeypot的劣势
对于虚拟honeypot来说,有两点最主要的不足。首先,它只能愚弄那些初级黑客。你要记住,虚拟honeypot并没有一个真正的操作系统支撑(有的解决方案中内嵌了简单的Windows或Linux)。因此有经验的黑客会发现很多命令在这台主机中不起作用。这会使他立即知道自己进入的只是一台honeypot,而不是真正的服务器。
虚拟honeypot的另一个不足是它记录的信息种类有限。比如一个虚拟honeypot伪装成FTP服务器,那么它就只能获取和FTP相关的信息。当然,大部分虚拟honeypot还可以获取端口扫描和其它一些基本的攻击信息。然而,如果一个黑客利用IPv6端口发送加密的信息又会如何呢?由于虚拟honeypot功能有限,它无法记录这类的问题。简单说,虚拟honeypot可以检测并记录已知的攻击种类,但对于新型的攻击却没什么用处。
真实honeypot的优势
| 
