关于LINUX蜜网防御系统.pdfVIP

ＷＷＷ．ＡＫＺＸＷ．ＮＥＴ DD 安康装修网 基于LINUX 蜜网的防御系统 随着Internet 的高速发展，个人、企业以及政府部门越来 越多地依靠网络传递信息，然而网络的开放性与共享性使 它正遭受着来自黑客、脚本编辑者所带来的巨大的安全威 胁，分布式拒绝服务攻击、被控主机敏感信息的窃取，严 重地影响了网路的正常工作，一个安全可靠的防御网络成 为现在安全领域的一个热点。究其根源，是攻击者与防御 ＷＷＷ．ＡＫＺＸＷ．ＮＥＴ DD 安康装修网 者之间在进行着一场不对称的博弈，特别是信息上的不对 称，攻击者可以利用扫描、探测等一系列技术手段全面获 取攻击目标的信息，而防御者对他所受到的安全威胁一无 所知，即使在被攻陷后还很难了解攻击者的来源、攻击方 法和攻击目标，蜜网技术就是为了扭转这种不对称局面而 提出的。 1 蜜网技术原理 蜜网技术实质上仍是一种蜜罐技术，是一种对攻击者进行 ＷＷＷ．ＡＫＺＸＷ．ＮＥＴ DD 安康装修网 欺骗的技术，通过布置一些作为诱饵的主机、网络服务以 及信息诱使攻击者对他们进行攻击，减少对实际系统所造 成的安全威胁。但蜜网有其自身特点：首先，蜜网是由多 个蜜罐以及防火墙、入侵防御系统、系统行为记录、自动 报警、辅助分析等一系列系统和工具所组成的一整套体系 结构，这种体系结构创建了一个高度可控的网络，使得安 全研究人员可以控制和监视其中的所有攻击活动，从而去 了解攻击者的攻击工具、方法和动机。其次，蜜网是一种 ＷＷＷ．ＡＫＺＸＷ．ＮＥＴ DD 安康装修网 高交互型的用来获取广泛的安全信息的蜜罐，高交互意味 着蜜网是用真实的系统，应用程序以及服务来与攻击者进 行交互。 蜜网体系结构具有三大关键需求:即数据控制、数据捕获和 数据分析。数据控制是对攻击者在蜜网中对第三方发起的 攻击行为进行限制的机制，用以降低部署蜜网所带来的安 全风险。最大的挑战在于对攻击数据流进行控制而不能让 攻击者怀疑:我们必须要给攻击者一定的自由度，允许他们 ＷＷＷ．ＡＫＺＸＷ．ＮＥＴ DD 安康装修网 做大部分 “合法”的事情，比如从网络上下载入侵工具包 等，这样才能获取信息，学习他们的攻击方法，但是要拒 绝所有攻击其它机器的行为，这就需要一个自由度和安全 性的权衡。数据捕获，即监控和记录攻击者在蜜网内的所 有行为，最大的挑战在于要搜集尽可能多的数据，而又不 被攻击者所察觉。数据分析则是对捕获到的攻击数据进行 整理和融合，以辅助安全专家从中分析出这些数据背后蕴 涵的攻击工具、方法、技术和动机，在分布式部署的蜜网 ＷＷＷ．ＡＫＺＸＷ．ＮＥＴ DD 安康装修网 体系中，还存在着将多个蜜网中捕获数据进行安全地传输 到一台中央服务器，并进行集中化分析的分布式数据收集 需求。 2 基于LINUX 蜜网的防御系统的实现 本系统中使用IP 分布如下: CCID_NOBR PRECCID_CODEName |Type|IPorGroupitems|Descripti on ＷＷＷ．ＡＫＺＸＷ．ＮＥＴ DD 安康装修网 Firewall |Workstation|1|honeynetadministr ator Roxen |Workstation|0|runningtheRoxenwebse rver DNS |Workstation|3|DNSserver Apache |Workstation|0|webserver， vulnerabiliable Honeynet |Group|Roxen+DNS+Apache|Theseareourhoneypo ＷＷＷ．ＡＫＺＸＷ．ＮＥＴ DD 安康装修网 ts/CCID_CODE/PRE/CCID_NOBR 本honeynet 没有故意留下了漏洞，但可以通过Apache 能 够给用户一个nobodyshell，再使用EOE 防止普通用户成 为root，这样限制了攻击者所能做的事。在此基础上增加 策略： 有主机都可以通过ssh 或MYSQL 连通/firewall； 有主机都可以连接到honeynet 这个组； honeynet 允许连接到任意主机； ＷＷＷ．ＡＫＺＸＷ．ＮＥＴ DD 安康装修网 除了以上之外，所有的通信都被拦截； 所有防火墙允许通过的数据都记录。 因此策略可以有下面四条： CCID_NOBR PRECCID_CODENumSourceDestinationServiceActionL og 00FirewallsshorMySQLAcceptLog 01honeynetanyacc