第11章：典型防御技术.ppt

* 网络入侵与防范讲义 * * 网络入侵与防范讲义 * 蜜罐的基本配置方式 蜜罐有4种不同的配置方式： 诱骗服务(Deception Service) 弱化系统(Weakened System) 强化系统(Hardened System) 用户模式服务器(User Mode Server ) * 网络入侵与防范讲义 * 诱骗服务 诱骗服务是指在特定IP服务端口上侦听并像其他应用程序那样对各种网络请求进行应答的应用程序。例如，可以将诱骗服务配置为sendmail服务的模式，当攻击者连接到蜜罐的tcp/25端口时，就会收到一个由蜜罐发出的代表sendmail版本号的标识。 如果攻击者认为诱骗服务就是他要攻击的sendmail，他就会采用攻击sendmail服务的方式进入系统。此时，系统管理员便可以记录攻击的细节，并采取相应的措施及时保护网络中实际运行着sendmail的系统。日志记录也会提交给产品厂商、CERT或法律执行部门进行核查，以便对产品进行改进并提供相应的证据。 * 网络入侵与防范讲义 * 诱骗服务(2) 蜜罐的诱骗服务需要精心配置和设计。 首先，先要将服务模拟得足以让攻击者相信是一件非常困难的事情；另一个问题是诱骗服务只能收集有限的信息。 从理论上讲，诱骗服务本身可以在一定程度上允许攻击者访问系统，但是这样会带来一定的风险，如果攻击者找到了攻击诱骗服务的方法，蜜罐就陷于失控状态，攻击者可以闯入系统随意活动，并将所有攻击的证据删除，这显然是很糟的。 * 网络入侵与防范讲义 * 弱化系统 弱化系统是一个配置有已知攻击弱点的操作系统。 比如，系统安装有较旧版本的SunOs，这个操作系统已知的易受远程攻击的弱点有RPC、sadmind和mountd等。这些配置将使恶意攻击者更容易进入系统，系统可以收集有关攻击的数据。 * 网络入侵与防范讲义 * 弱化系统的优点 优点：蜜罐可以提供的是攻击者试图入侵的实际服务，这种配置方案解决了诱骗服务需要精心配置的问题，而且它不限制蜜罐收集到的信息量，只要攻击者入侵蜜罐的某项服务，系统就会连续记录下它们的行为并观察它们接下来的所有动作。 这样系统可以获得更多的关于攻击者本身、攻击方法和攻击工具方面的信息。 * 网络入侵与防范讲义 * 弱化系统的缺点 弱化系统的问题是“维护费用高，但收益很少”。 如果攻击者对蜜罐使用已知的攻击方法，弱化系统就变得毫无意义，因为系统管理员已经有防护这种入侵方面的经验，并且已经在实际系统中针对该攻击做了相应的修补。 * 网络入侵与防范讲义 * 强化系统 强化系统是对弱化系统配置的改进，强化系统并不配置一个看似有效的系统，蜜罐管理员为基本操作系统提供所有已知的安全补丁，使系统每个无掩饰的服务变得足够安全。 一旦攻击者闯入“足够安全”的服务中，蜜罐就开始收集攻击者的行为信息，一方面可以为加强防御提供依据，另一方面可以为执法机关提供证据。 配置强化系统是在最短时间内收集最多有效数据的最好方法。 * 网络入侵与防范讲义 * 强化系统(2) 唯一的缺点是：这种方法需要系统管理员具有比恶意入侵者更高的专业技术。 如果攻击者具有更高的技术就很有可能取代管理员对系统进行控制，并掩饰自己的攻击行为。 更糟的是，它们可能会使用蜜罐来进行对其它系统的攻击。 * 网络入侵与防范讲义 * 用户模式服务器 将蜜罐配置为用户模式服务器是相对较新的观点。 用户模式服务器是一个用户进程，它运行在主机上，并模拟成一个功能齐全的操作系统，类似于用户通常使用的台式电脑操作系统。在用户的台式电脑上，用户可以运行文字处理等应用程序。 将每个应用程序当作一个具有独立IP地址的操作系统和服务的特定实例。 简单的说，就是用一个用户进程来虚拟一个服务器。用户模式服务器是一个功能健全的服务器，嵌套在主机操作系统的应用程序空间中。 * 网络入侵与防范讲义 * 11.5.4 虚拟专用网的关键技术 VPN是由特殊设计的硬件和软件直接通过共享的基于IP的网络所建立起来的，它以交换和路由的方式工作。 隧道技术把在网络上传送的各种类型的数据包提取出来，按照一定的规则封装成隧道数据包，然后在网络链路上传输。在VPN上传输的隧道数据包经过加密处理，它具有与专用网络相同的安全和管理的功能。 VPN中采用的关键技术主要包括隧道技术、加密技术、用户身份认证技术及访问控制技术。 * 网络入侵与防范讲义 * 安全隧道技术 Secure Tunneling Technology,这是VPN的核心技术。 隧道是一种通过因特网在网络之间传递数据的方式。通过将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输。到达另一端后被解包。 VPN中主要有两种隧道。 一种是端到端的隧道，主要实现个人主机之间的连