入侵誘騙技術是較傳統入侵檢測技術更爲主動的一種安全技術。主要包括蜜罐(Honeypot)和蜜網(Honeynet)兩種。它是用特有的特徵吸引攻擊者,同時對攻擊者的各種攻擊行爲進行分析,並找到有效的對付方法。爲了吸引攻擊者,網絡管理員通常還在Honeypot上故意留下一些安全後門,或者放置一些攻擊者希望得到的敏感信息,當然這些信息都是虛假。當入侵者正爲攻入目標系統而沾沾自喜時,殊不知自己在目標系統中的所做所爲,包括輸入的字符,執行的操作等都已經被Honeypot所紀錄。
蜜罐技術
Honeypot是一個資源,它的價值在於它會受到探測,攻擊或攻陷。蜜罐並不修正任何問題,它們僅提供額外的、有價值的信息。所以說Honeypot並非是一種安全的解決方案,這是因爲它並不會“修理”任何錯誤。它只是一種工具,如何使用這個工具取決於用戶想做什麼。Honeypot可以對其他系統和應用進行仿真,創建一個監禁環境將攻擊者困在其中。無論用戶如何建立和使用Honeypot,只有Honeypot受到攻擊,它的作用才能發揮出來。所以爲了方便攻擊,最好是將Honeypot設置成域名服務器WEB或電子郵件轉發服務等流行應用中的一種。
蜜罐的部署
蜜罐並不需要一個特定的支撐環境,它可以放置在一個標準服務器能夠放置的任何地方。當然,根據所需要的服務,某些位置可能比其他位置更好一些。如圖(1)顯示了通常放置的三個位置:1.在防火牆前面;2.DMZ中;3.在防火牆後面。
如果把蜜罐放在防火牆的前面,不會增加內部網絡的任何安全風險,可以消除在防火牆後面出現一臺失陷主機的可能性(因爲蜜罐主機很容易被攻陷)。但是同時也不能吸引和產生不可預期的通信量,如端口掃描或網絡攻擊所導致的通信流,無法定位內部的攻擊信息,也捕獲不到內部攻擊者。
如果把蜜罐放在防火牆的後面,那麼有可能給內部網絡引入新的安全威脅,特別是如果蜜罐和內部網絡之間沒有額外的防火牆保護。正如前面所說,蜜罐通常都提供大量的僞裝服務,因此不可避免地必須修改防火牆的規則,對進出內部網絡的通信流量和蜜罐的通信加以區別和對待。否則一旦蜜罐失陷,那麼整個網絡內部將完全暴露在攻擊者面前。
較好的解決方案是讓蜜罐運行在自己的DMZ內,同時保證DMZ內的其他服務器是安全的,只提供所必需要的服務,而蜜罐通常會僞裝儘可能多的服務。DMZ同其他網絡連接都用防火牆隔離,防火牆則可以根據需要同Internet連接。這種佈局可以很好的解決對蜜罐的嚴格控制與靈活的運行環境矛盾,從而實現最高安全。
蜜網技術
Honeynet是一種特殊的Honeypot,Honeypot物理上通常是一臺運行單個操作系統或者藉助於虛擬化軟件運行多個虛擬操作系統的“牢籠”主機。單機蜜罐系統最大的缺陷在欲數據流將直接進入網絡,管理者難以控制蜜罐主機外出流量,入侵者容易利用蜜灌主機作爲跳板來攻擊其他機器。解決這個問題方法是把蜜罐主機放置在防火牆的後面,所有進出網絡的數據都會通過這裏,並可以控制和捕獲這些數據,這種網絡誘騙環境稱爲蜜網(honeynet)。
蜜網的組成
蜜網作爲蜜罐技術中的高級工具,一般是由防火牆,路由器,入侵檢測系統以及一臺或多臺蜜罐主機組成的網絡系統,也可以使用虛擬化軟件來構件虛擬蜜網。相對於單機蜜罐,蜜網實現,管理起來更加複雜,但是這種多樣化的系統能夠更多地揭示入侵者的攻擊特性,極大地提高蜜灌系統的檢測,分析,響應和恢復受侵害系統的能力。
防火牆的作用是限制和紀錄網絡數據流,入侵檢測系統通常用於觀察潛在的攻擊和譯碼,並在系統中存儲網絡數據流。蜜網中裝有多個操作系統和應用程序供黑客探測和攻擊。特定的攻擊者會瞄準特定的系統或漏洞,我們通過部署不同的操作系統和應用程序,可更準確地瞭解黑客的攻擊趨勢和特徵。另外,所有放置在蜜網中的系統都是真實的系統,沒有模擬的環境或故意設置的漏洞。而且利用防火牆或路由器的功能,能在網絡中建立相應的重定向機制,將入侵者或可疑的連接主動引入蜜網,可以提高蜜網的運行效率。
如圖(2)所示是一個Honeynet的詳細結構圖。
圖中包括了三個不同的網絡:Honeynet、管理網絡和Internet。其中,日誌/告警服務器爲管理網絡,Solaris、Win2000、Linux、Log server爲Honeynet。防火牆,IDS和蜜罐主機的系統負責日誌的捕獲。因爲手段高明的入侵者攻入系統後,通常會試圖更改甚至銷燬目標主機上易於暴露入侵行爲的各種紀錄。蜜網在確保不被入侵者發現誘騙的前提下,儘可能多地捕獲攻擊行爲信息,包括黑客所有的按鍵紀錄,CPU的使用率或者進程列表,使用過的各種協議數據包內容等,同時要注意充分保證捕獲信息的完整和安全。防火牆在IP層紀錄所有出入蜜網的連接,設計爲允許所有進入的連接,但是對從Honeynet向Internet發起的連接進行跟蹤,一旦Honeynet達到了規定的向外的連接數,防火牆將阻斷任何後續的連接,並且及時向系統管理員發出警告信息;IDS在數據鏈路層對蜜網中的網絡數據流進行監控,分析和抓取以便將來能夠重現攻擊行爲,同時在發現可疑舉動時報警。蜜罐主機除了使用操作系統自身提供的日誌功能外,還可以利用第三方軟件加強日誌功能,並且傳輸到安全級別更高的遠程日誌服務器上備份。
總結
傳統意義上講,網絡安全要做的工作主要是防禦,防止自己負責的資源不會受到別人入侵,盡力保護自己的組織,檢測防禦中的失誤,並採取相應的措施。這些安全措施都只能檢測到已知類型的攻擊和入侵。而蜜罐和蜜網的設計目的就是從現存的各種威脅中提取有用的信息,發現新型的攻擊工具,確定攻擊模式並研究攻擊者的攻擊動機,從而確定更好的對策。