蜜罐不只是简单的计算机操作,需要信息安全专业知识支撑;蜜罐系统囊括了渗透测试、漏洞发现、网络入侵技术、网络入侵检测、恶意代码分析等各方面的信息安全专业知识;清楚明白蜜罐系统,对网络安全、网络攻防有全方位的认识;
从字面上解析,看着,是一个装满蜜糖的罐子,很甜的感觉。听着,口腔里唾液腺的分泌不自觉的加强了。那么在网络安全中,蜜罐又是一个什么样子的东西呢?其实,道理是相通的。蜜罐里面装满了网络黑客期待的蜜糖。而这些蜜糖存在的意义就是诱骗黑客攻击蜜罐,对于黑客来说,蜜罐就是甜的。比较官方的解析:蜜罐是一台无人使用但却被严密监控的网络主机,它包含虚假的高价值资源和一些漏洞,以此吸引入侵者攻击主机。并且在被入侵的过程中,实时记录和审计攻击者的攻击流量、行为和数据。以此了解攻击者的方式、手段和目的,并且完成对攻击溯源、取证等进一步的工作。
比较早的时候还没有蜜罐的定义,那时候有一间公司遭到来自内网的入侵攻击,而该公司却不能找出攻击的源头。此时,公司的一名员工伪造了一个有漏洞的系统服务,并且在此基础上添加了网络监控的功能。部署上线后该系统也遭到来自于内网的入侵攻击,网络监控也发挥了功能,捕获到攻击来源。其实,该系统就是我们所说的蜜罐系统,但是那时候还没有得到明确定义。随着时间推进,蜜罐开始进入公众视野,功能不断完善,添加上网络监控、主机监控等多方面支持。后来蜜罐也向多个方面发展,蜜网系统、工控蜜罐、linux蜜罐等等。
蜜罐获得战争的制高点是我知道你要做什么。如果曹操提前得知孔明会草船借箭,他该怎么做?有人说:一支箭都不给孔明;有人说:箭还是给孔明,但是每支箭都点上火;而蜜罐是网络战争提前获得消息的利器,那么网络战争中如果知道敌人的攻击手段,你会怎么做?断网?防火墙?IPS?主动出击,先发制人。在蜜罐系统上伪装了各种真实的业务资源,例如邮箱服务,ftp服务、网站服务等等,用来欺骗敌人入侵蜜罐系统,并且在敌人毫不知情的情况下,记录他们入侵蜜罐系统的全部操作。所以说,蜜罐的价值在于诱骗攻击。
蜜罐系统的构成可以从逻辑模块以及功能模块两个方面来理解。
数据控制:数据控制技术是控制攻击者出入蜜网主机的活动,使其不会以蜜网主机为跳板攻击和危害互联网上其它的主机。
数据捕获:数据捕获技术包括网络流量数据捕获以及主机上系统行为的捕获。网络流量数据的捕获结合网络入侵检测系统,配置相关敏感信息的检测规则,触发入侵检测规则时立即记录网络流量
数据分析:数据分析技术基于数据捕获技术之上,把收集到的网络数据、主机行为数据保存于数据库当中。分析技术需要信息安全网络攻防研究基础、数据库设计基础。
主机监控:进程监控、文件监控、注册表监控、网络监控等,监控黑客入侵蜜罐系统后的一切操作,了解黑客入侵的目的。
入侵检测:蜜罐系统的入侵检测模块可以准确的检测出黑客入侵蜜罐的攻击手段,对黑客的入侵过程进行详细的记录。
攻击分析:分析主机监控以及入侵检测两个模块获得的数据。
HoneyProject官网上的蜜罐系统网络结构包括:透明网关HoneyWall、蜜罐主机HoenyPot。HoneyWall位于众多HoenyPot的前面,HoenyPot网络流量都经过HoneyWall。在HoneyWall上面部署透明网桥、网络入侵检测、防火墙、主机指纹识别等网络安全系统,用于控制以及监听进出HoenyPot的网络流量。那么,HoneyWall可以认为是一个路由器,一个或者多个HoenyPot连接路由器与外界进行通信。而该路由器上面部署了各种各样的网络安全系统来控制监听网络,最重要的一点是该路由器是透明设备,其他的网络用户并不能感知其存在。这样做就更加的隐蔽了。
Honey Farm:蜜场是蜜罐概念的发展。蜜场的思想是将网络中可疑数据流重定向到蜜场中。在网络中放置检测器,当发现可疑数据流时,利用重定向器将其导向蜜场。所有蜜罐集中于蜜场,与外网之间用防火墙隔离。蜜场的优势在于集中性。
Honey Token:Honey Token概念的提出,使蜜罐不再局限于硬件设备。Honey Token是一个数字化的实体。它可以是一张信用卡号码、一个Excel电子表格、一个数据库的入口,或者是一个伪造的登录。任何黑客感兴趣信息的无价值的赝品均可成为蜜罐。Honey Token是一种高度灵活和简单的且带有多种安全应用软件的工具。
动态蜜网:动态蜜网,将低交互蜜罐和高交互蜜罐结合起来,需要虚拟蜜网技术的支持,利用被动指纹工具监控网络。依据获得的网络信息对蜜网进行部署和配置。最主要的是其自适应能力,能够自动学习周围的网络环境,配置适当数量的蜜罐,并随网络环境的变化做出调整。
Linux系统蜜罐:随着Linux服务器操作系统的发展,大部分黑客开始尝试攻击Linux操作系统。并且,国产化操作系统也是以Linux系列为主(可信计算平台),对于Linux蜜罐的研究与实现具有重要的意义。
工控系统蜜罐:震网攻击事件发生后,工业控制安全越来越得到大家的重视,无论是什么工业控制系统,都有可能成为被攻击的目标,而工业控制系统方面并不存在有效的信息安全设备,那么,工业蜜罐是有效的选择。
移动终端蜜罐:移动终端拥有庞大的用户量,但是APP市场并不安全,加上短信、电话欺骗等,是不是安全APP(360)等没有系统报警,手机终端就是安全的?
蜜罐系统部署后需要大量的人力物力进行维护;法律责任的问题等等