在入侵檢測防護策略中加入蜜罐

申請免費試用、咨詢電話：400-8352-114

您是否準備好超越平常的抵御入侵者的方法，掌握更多的主動權？不用再坐等入侵者進犯，現(xiàn)在你可以利用偽裝服務器或者偽裝網絡引誘（有些情況下甚至是捕獲）入侵者，我 們稱之為蜜罐（honeypot）或蜜網（honeynet）。

入侵檢測和入侵防護是IT安全規(guī)劃的重要目標，最好的入侵檢測/防護策略會結合使用多種方法。以前我曾經談到過如何選擇能與業(yè)務一同發(fā)展的IDS/IPS工具或者軟件產品。這里 將介紹一種相應的防御入侵者企破壞網絡安全的方法。某些組織機構采用更為主動的方法，即設置“蜜罐”——一臺偽裝成實際的生產用設備的服務器，而它的實際用途只是要吸 引黑客。甚至有時整個網絡都由這樣的設備組成(經常是在某臺服務器上運行的多個虛擬服務器)。下面介紹如何在您的入侵檢測和入侵防護策略中加入蜜罐或蜜網，以及它們如何 成為網絡中“真實”的一部分。

蜜網工作方式

蜜罐或蜜網是網上“針刺” 操作的基礎：它能夠誘敵深入，不用冒著暴露生產網絡的風險就可以追蹤入侵者的行為。這一方法目前是如此流行，以至于有了自己的博客網站：honeyblog。

雖然蜜罐電腦看似網絡的一部分，但實際上與網絡隔絕并有所保護，因此闖入蜜罐電腦的入侵者無法觸及網絡的其他部分。蜜罐的誘惑力源自其上所儲存的資源，這些資源看起來 很象敏感或者保密的文件，能夠提起黑客的興趣。蜜罐處于嚴密監(jiān)視下，入侵者很早就會被偵測出來，并能追查到黑客的源頭。

蜜罐還有一個次要的作用就是轉移入侵者的注意力，從而保護生產網絡。

實施蜜罐或蜜網
一旦您決定在入侵檢測/入侵防護策略上加點“蜜”，你就需要確定以下問題：

在網絡何處安置蜜罐/蜜網

實施單一的蜜罐還是多計算機的蜜網

使用實體設備、虛擬軟件還是使用專為實施蜜罐設計的多設備模擬蜜罐軟件。

蜜罐的安置

你可以將蜜罐放置在內部網上，但是你的網絡防護措施會保護蜜罐免受來自互聯(lián)網的入侵者的襲擊。內網蜜罐因此可以用來偵測來自LAN內部的襲擊。如果內網蜜罐遭到來自互聯(lián)網 的襲擊，就說明網絡邊界的安全措施不夠完善。如果蜜罐的吸引力夠大，就可以保護任務關鍵內部服務器在安全措施不完備的情況下不會首先遭到入侵。

許多組織機構直接將蜜罐連入互聯(lián)網。這樣使得蜜罐很容易遭到襲擊，經常會出現(xiàn)大量的入侵。因此，這樣的蜜罐對于老練的黑客來說可能有一些可疑。

最常使用的方法是將蜜罐安置在DMZ或者網絡邊界上，就是位于互聯(lián)網和內部LAN之間有防火墻保護的子網。

蜜罐或者虛擬蜜網設備應該僅作為檢測系統(tǒng)使用，而不用做其他用途。

蜜網的擴展

對于小型企業(yè)來說，單一的蜜罐服務器已經足夠。隨著企業(yè)的成長，企業(yè)會更熟練的掌握使用蜜罐誘捕入侵者的方法，就可以創(chuàng)建蜜罐組成的網絡，也就是蜜網。為了構建蜜網而 購買多臺設備成本頗高，但你可以使用VMWare或者微軟公司的Virtual PC/Virtual Server等虛擬化軟件建立幾十臺易受攻擊的服務器等候被襲。每臺虛擬設備都有自己的IP地址，并可以在不同的虛擬設備上運行不同的操作系統(tǒng)。例如你可以創(chuàng)建虛擬的電子郵件 服務器來引誘垃圾郵件發(fā)送者等等（不過請記住，根據操作系統(tǒng)的不同，你可能需要為虛擬服務器購買使用許可）。

你甚至可以在蜜網上增加假的802.11無線接入點。由于無線網絡是入侵者最喜歡的攻擊目標，因此“蜜WAP”能夠吸引和迷惑那些查找開放無線網絡的人。Black Alchemy公司的FakeAP就是一款可以在Linux上運行，并能創(chuàng)建53000個假登錄點的開源程序。你可以在http://www.blackalchemy.to/project/fakeap/下載。

蜜罐軟件

其他能夠用來設立陷阱的蜜罐/蜜網軟件還有：

Honeyd是能夠創(chuàng)建多個可以配置不同操作系統(tǒng)和服務的虛擬主機的Linux后臺程序。單獨一臺設備能夠模擬出超過65,000臺網絡設備，還可以對虛擬設備進行ping和traceroute 操作。你可以在http://www.citi.umich.edu/u/provos/honeyd/下載并找到更多訊息：這里甚至還有Windows版本的Honeyd。

HoneyBOT是一款能夠在網絡上模仿超過1000個易受攻擊的服務的Windows蜜罐程序，可以捕獲和記錄入侵和襲擊企圖。它運行于Windows 2000及以上版本，是AtomicSfotwareSolutions公司的產品。你可以在以下地址免費下載使用http://www.atomicsoftwaresolutions.com/honeybot.php

NetBait能夠建立假網，將入侵者的注意力從實際網絡轉向假網。這個軟件可擴展性強，既有針對中小企業(yè)的版本，也有企業(yè)級版本。其前身是一個基于網絡的客戶現(xiàn)場服務， 后來則作為內部解決方案使用。你可以在http://www2.netbaitinc.com:5080/products/了解到更多信息。

Honeywall是一張可以用來實施蜜網的CD-ROM，可以在蜜網項目網站http://www.honeynet.org/tools/cdrom/上下載。
隨著您越來越深入的了解蜜網項目，您就可以使用專用的模擬特殊類型服務或服務器的軟件產品。例如：

Spampot是能夠模擬開放轉發(fā)的虛擬SMTP服務器 ，可在http://woozle.org/~neale/src/python/spampot.py 下載。

ProxyPot模擬開放proxy,專為截獲垃圾郵件發(fā)送者而設計。Sandtrap是wardialer偵測器，能夠模擬開放的調制解調器，然后記錄呼叫者ID和登錄企圖信息。 (techtarget)