专家谈:入侵检测蜜罐技术(下)

日期: 2010-11-29 来源:TechTarget中国

  所有蜜罐软件有几个核心功能都是通用的,首先,必须开放一或多个端口和服务,吸引入侵者来攻击,其次,必须捕获到入侵者的源地址(通常为IP地址)、日期、时间和试图发送出去的数据,所有连接尝试都应该记录下来(除非明确指示要求忽略的),并产生警报,以便突发事件响应团队可以参与进来,最后,好的蜜罐有助于数据分析,无论是通过详细的数据包分析,密码尝试分析,还是将相关探测汇集成一个事件。

  平台和安装

  蜜罐软件应该易于安装和配置,KFSensor在这方面做得很好,提供了直观的GUI,但它只能运行在Windows XP或更高版本上,HoneyPoint和Honeyd可以运行在Windows,Linux和Mac OS X上,Honeyd也支持Solaris和BSD,HoneyPoint安装相当简单,但需要小文本文件操作许可证,Honeyd在这三个蜜罐软件中是最万能的,但偏偏它也是最难安装和配置的,对Linux命令控来说可能不难,但对习惯了窗口操作的Windows用户来说,从下载,编译和配置就会使他们望而怯步,因为一切都是在命令行下操作的。这三个蜜罐软件都可以作为普通程序运行在用户空间,也可以作为系统服务或守护进程在后台运行,作为系统服务有一个好处是,系统重启后可以更方便地启动它们。

  模拟水平和服务

  大多数蜜罐程序都是低交互到中等交互的,或更准确地说,有些服务模拟的水平很低,有些服务模拟的水平属中等,我考查的这三个蜜罐均属于低到中等模拟水平,如果特定服务需要高交互,KFSensor和Honeyd允许将探测请求路由到外部实时系统,被转发的攻击者仍然认为他还连接在同一个目标系统和IP地址,蜜罐继续捕捉数据,因此管理员可以全面了解攻击者干的一切。

  所有蜜罐必须模拟一或多个服务,并且必须监听这些服务使用的TCP或UDP(或ICMP)端口,许多蜜罐都只能模拟有限的端口,KFSensor,Honeyd和HoneyPoint都声称可以模拟全部TCP和UDP端口(0~65535),我不知道这是否是真的,在这次考查中我没有逐一去验证,但我过去曾经验证过KFSensor和Honeyd,Honeyd的确支持全部端口,并且性能表现不错,虽然KFSensor以前的版本不支持,但最新的企业版可以,再说一次,我没有测试HoneyPoint的所有端口。

  注意:蜜罐不能绑定底层主机操作系统已经占用的端口,例如,基于Windows的蜜罐就不能模拟NetBIOS服务,除非底层主机上的文件和打印机共享被禁用,SMB/CIFS被关闭。

  对于低交互蜜罐,可以模拟越多的服务越好,例如,在Windows环境中,几乎涵盖了所有流行的Microsoft应用程序和服务,这正是攻击者喜欢的,KFSensor带有许多内置服务,其次是HoneyPoint,对Honeyd来说,有许多开源的模拟脚本,但默认只预装了一部分。
 
  模拟网络

  KFSensor和HoneyPoint没有任何网络模拟功能,完全依赖于主机和主机网络路由,Honeyd拥有强大的网络模拟功能,不仅可以模拟整个路由方案(包括路由,跳数,延迟和丢包),还可以模拟每个模拟操作系统的网络堆栈,它可以骗过Nmap和Xprobe指纹扫描程序,Honeyd可以让单个实例看起来象是100个不同的操作系统,从这一点来看,其它蜜罐软件是无法和Honeyd匹敌的。

  但值得一提的是,大多数攻击者不会做网络指纹识别和分析,相反,他们只顾寻找某个端口,并迅速尝试看它是否处于运行中,只有很少的时候攻击者会运行指纹识别工具(如Nmap和Xprobe2),在这个时候,网络堆栈模拟就很重要了。在绝大多数攻击中,Honeyd周全的网络模拟有点小题大做,但对于蜜罐狂人和管理员来说,这些都是基本功能,对其他大多数人而言,这并不是必需的。

  警报和日志

  如果没有强大的警报和日志功能,蜜罐就没有多大用处,不管是在传感器上还是在中央控制台上,所有蜜罐都会把连接尝试作为警报,警报应该允许为每个传感器,源IP地址,端口和入侵签名设置临界级别,虽然有些探测会比较可疑,但对蜜罐的所有探测都应被调查,源自更安全网络的探测更应该引起注意,这可能意味着更严重的威胁,为此,一个在非政府网络上部署蜜罐的国防工业用户要求将来自远程政府网络的通信设为最高优先级,如果探测源自更敏感的网络,这个用户希望他们的突发事件响应团队可以立即得到通知,KFSensor在设置临界级别方面提供了更丰富的功能,其次是Honeyd和HoneyPoint。

  大多数蜜罐可以通过系统日志,电子邮件和Windows事件日志发送,所有警报都应该记录到本地数据库中,当然,如果能记录到外部数据库,尤其是支持SQL的数据库,则应该加分,我考查的这三个蜜罐均支持调节警报消息,不至于一个探测事件(如一个端口扫描)就触发数千封邮件发送给待命支持人员。

  大多数蜜罐产品允许使用当前的警报调整未来的警报,通常用于过滤掉合法的通信,微调蜜罐是个费时的活,但一个好的蜜罐可以简化这个过程,KFSensor在提炼警报方面提供了最大的灵活性,在任何警报上点击右键,打开”访问规则”窗口,在这里可以进行定制访问规则,HoneyPoint和Honeyd也有过滤功能,但它们不是很灵活或容易实现。

  报告

  管理层一般都喜欢看到漂亮的报告和图片,每个人都喜欢看到随时间推移的发展趋势,遗憾的是,我还没有看到哪个蜜罐软件内置了强大的报告功能,HoneyPoint提供了10个报告,但都很简单,我希望看到有更成熟的报告功能出现在流行蜜罐软件中。

  特异功能

  蜜罐可以有一些奇怪的功能,一般都是为了获取与攻击者有关的更多信息,KFSensor在这三个蜜罐软件中功能是最丰富的,但HoneyPoint的特异功能最多,HoneyPoint Trojans 和HoneyBees试图提供虚假诱惑,如伪造的二进制程序,Web和电子邮件通信,MicroSolved希望在追踪黑客时可以获得更多的具体信息,我很怀疑它们的整体效果,但至少MicroSolved没有提供工具打入远程黑客的电脑,过去,一些蜜罐厂家就曾经这么做过,攻击攻击者不仅是不道德的,在大多数国家,这种做法也是非法的,HoneyPoint Trojans和HoneyBees没有越过这条线。

  KFSensor一直是蜜罐领域公认的领导者角色,至今这一地位仍然没有其它类似产品可以撼动,KFSensor也是本次考查的三个蜜罐软件中操作最简单,功能最丰富的,唯一的缺点是缺乏内置报告,许多蜜罐,特别是具有分布式传感器和企业级功能的蜜罐,可能拥有自己的报告工具和信息需求,尽管如此,一些最基本的报告也有一段很长的路要走,HoneyPoint提供了最基本的10个报告,Honeyd的开源社区贡献了一些插件,提供了一些基本的报告功能,都远远不能满足如今的需求。

  HoneyPoint凭借多平台支持,内置报告,警报跟踪和一些独特的功能让攻击者的行踪无处可藏,但不管是在功能上还是在易用性上,比KFSensor还是差一截,Honeyd可能是最灵活,最高效的蜜罐,但安装和配置也最复杂,使用Linux/Unix的组织可能不会担心这个挑战,Honeyd凭借免费标签吸引了大把用户,它是最有潜力超越KFSensor的。虽然KFSensor只能安装在Windows上,但它一样可以模拟Linux/Unix环境中的端口和服务。

  不管你选择哪个蜜罐产品,或者即使你仅仅是用一台旧电脑充当早期预警系统,在时间和金钱上适当投入,在安全上会更可靠,心态也会更平和,因为当你的防火墙,IDS,杀毒软件或其它安全防御失效时,你的蜜罐总是会提醒你,建立一个简单的蜜罐成本并不高,但可以筑起第二道防线。

  专家谈:入侵检测蜜罐技术(上) 

  原文出处:http://netsecurity.51cto.com/art/201011/234172_2.htm

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。