密罐应用实例
大家可能已经了解了什么是蜜罐(HoneyPot),也了解了可以使用蜜罐实现哪些功能、解决哪些问题,但是一些实际的应用例子还是有助于大家更深入的认识蜜罐的价值。所以在这里我们提供一个实际应用蜜罐的案例,其中包含了选择合适蜜罐种类的过程、如何建立起所需的蜜罐系统以及如何维护管理蜜罐系统等方面的信息。
案例背景
在这个案例中隐藏了一些现实中的信息,案例中的CT公司是一家中等规模的经营玩具产品的公司,我们的主人公Joey是CT公司的网络管理员。这家公司开发了很多受到市场欢迎的产品,有很多竞争对手对CT那些创新设计感到兴趣,而为了处理对多个国家的商品出口以及原料订购,所以CT的所有业务都充分的依赖互联网开展。Joey的职责主要是维持网络环境的正常运行,守护这些维系公司生存的命脉。公司已经在办公地点配置了网关防火墙等一些设备来保护网络,Joey尽可能仔细的对这些设备进行了配置。现在的问题是,CT的管理层虽然在很多场合提到本公司的各种设计成果对公司的发展极其重要,而员工也十分了解CT公司多年积累的客户资源是取得良好业绩的基础,但是Joey认为大家并没有打心底里认为他的工作受到了认同。公司的其它同事似乎无法了解在连入互联网方便快捷的处理业务时有多少危险在伺机而入,他们也似乎无法理解Joey成天忙忙碌碌的对系统进行检查和配置到底是为了什么。尽管由于Joey的努力工作目前还没有严重的信息安全事件发生,但是Joey知道大家必须理解和参与到这项工作中,否则就是把自己累死也无法阻止一些可怕事情的发生,其实那个情景已经在Joey的梦境中预演了不少次了。另外还存在一些问题,就是Joey虽然对公司网络中的计算机进行了一些安全配置,但是他并没有把握这些配置到底多么有效,他迫切的需要对这些配置做一些验证。在参加了业余安全学习小组的一次讨论之后,Joey下定决心要解决这些每天困扰着他的问题,方法就是“蜜罐系统”。
在这个案例中隐藏了一些现实中的信息,案例中的CT公司是一家中等规模的经营玩具产品的公司,我们的主人公Joey是CT公司的网络管理员。这家公司开发了很多受到市场欢迎的产品,有很多竞争对手对CT那些创新设计感到兴趣,而为了处理对多个国家的商品出口以及原料订购,所以CT的所有业务都充分的依赖互联网开展。Joey的职责主要是维持网络环境的正常运行,守护这些维系公司生存的命脉。公司已经在办公地点配置了网关防火墙等一些设备来保护网络,Joey尽可能仔细的对这些设备进行了配置。现在的问题是,CT的管理层虽然在很多场合提到本公司的各种设计成果对公司的发展极其重要,而员工也十分了解CT公司多年积累的客户资源是取得良好业绩的基础,但是Joey认为大家并没有打心底里认为他的工作受到了认同。公司的其它同事似乎无法了解在连入互联网方便快捷的处理业务时有多少危险在伺机而入,他们也似乎无法理解Joey成天忙忙碌碌的对系统进行检查和配置到底是为了什么。尽管由于Joey的努力工作目前还没有严重的信息安全事件发生,但是Joey知道大家必须理解和参与到这项工作中,否则就是把自己累死也无法阻止一些可怕事情的发生,其实那个情景已经在Joey的梦境中预演了不少次了。另外还存在一些问题,就是Joey虽然对公司网络中的计算机进行了一些安全配置,但是他并没有把握这些配置到底多么有效,他迫切的需要对这些配置做一些验证。在参加了业余安全学习小组的一次讨论之后,Joey下定决心要解决这些每天困扰着他的问题,方法就是“蜜罐系统”。
蜜罐选型和规划
根据如上的一些描述,大家应该也能了解到Joey要解决的主要问题了。首先是要向公司的其他人证明网络安全方面的威胁是真实存在的,当然了,他也需要证明经过强烈建议之后购买的防火墙确实在发生作用。针对这个需求,Joey决定建立一个不纳入防火墙保护的蜜罐系统,主要的作用是捕捉那些流行的自动攻击流量,特别是那些被防火墙过滤掉的蠕虫感染和自动扫描流量。这个蜜罐系统被Joey命名为Notebook,代表这台机器是游离于防火墙保护之外的笔记本电脑(尽管对于面向自动化攻击的蜜罐系统来说并不必要进行这样的伪装)。Notebook被插接在网络入口与防火墙之间的交换机上。另外,Joey还需要验证公司计算机安全配置的有效性。公司的绝大部分计算机都使用了微软Windows 2000操作系统,还有两台基于Linux系统的服务器。Joey决定同时实现模拟这两种操作系统的蜜罐,并将其接入到防火墙的DMZ端口上,用以观察真实工作环境中计算机的安全性并对攻击行为的发生进行告警。为了描述的直观,文中对这两个蜜罐系统分别冠名为Windows和Linux。
根据如上的一些描述,大家应该也能了解到Joey要解决的主要问题了。首先是要向公司的其他人证明网络安全方面的威胁是真实存在的,当然了,他也需要证明经过强烈建议之后购买的防火墙确实在发生作用。针对这个需求,Joey决定建立一个不纳入防火墙保护的蜜罐系统,主要的作用是捕捉那些流行的自动攻击流量,特别是那些被防火墙过滤掉的蠕虫感染和自动扫描流量。这个蜜罐系统被Joey命名为Notebook,代表这台机器是游离于防火墙保护之外的笔记本电脑(尽管对于面向自动化攻击的蜜罐系统来说并不必要进行这样的伪装)。Notebook被插接在网络入口与防火墙之间的交换机上。另外,Joey还需要验证公司计算机安全配置的有效性。公司的绝大部分计算机都使用了微软Windows 2000操作系统,还有两台基于Linux系统的服务器。Joey决定同时实现模拟这两种操作系统的蜜罐,并将其接入到防火墙的DMZ端口上,用以观察真实工作环境中计算机的安全性并对攻击行为的发生进行告警。为了描述的直观,文中对这两个蜜罐系统分别冠名为Windows和Linux。
Notebook的搭建
Notebook蜜罐需要实现的功能比较简单,只是证明在外网确实有攻击发生而防火墙确实起到了保护作用。所以从保守的角度来说,只要能够捕获到攻击性扫描等信息就可以了。Joey选择了通过蜜罐软件模拟一些服务来完成这个任务,因为这类蜜罐软件非常简单直观,而且无需建立和配置特别复杂的环境。Joey使用的蜜罐软件是NFR公司的BOF(BackOfficer Friendly),BOF的最主要优点是免费和简单,而且BOF的功能已经足以完成Joey要求的任务了。可获得的最新版本的BOF是1.0.1,可以模拟的系统服务包括FTP、HTTP、SMTP、POP3、Telnet等等。一旦攻击者对这些服务进行探测,BOF将记录这些事件并可以尝试对这些扫描流量进行响应。在Joey将部署了BOF的计算机Notebook连接到网络上之后不到3分钟,就收到了连入HTTP服务的请求,BOF记录了这一攻击请求。这样的证据表明网络上有人利用自动化的工具试图在大量的目标计算机中探测开启了HTTP服务的计算机(Notebook本身是不提供HTTP服务的),接下来可能是一系列针对HTTP服务的弱点发现和攻击。最后需要说明的是,Joey在Notebook上尽可能的限制了所有的网络服务和向外连接的能力,因为Notebook部署在防火墙之外,因为该计算机被攻破之后会被攻击者用于对互联网上的其它机器进行攻击,这种责任感是建立蜜罐系统的最基本要求之一。
Notebook蜜罐需要实现的功能比较简单,只是证明在外网确实有攻击发生而防火墙确实起到了保护作用。所以从保守的角度来说,只要能够捕获到攻击性扫描等信息就可以了。Joey选择了通过蜜罐软件模拟一些服务来完成这个任务,因为这类蜜罐软件非常简单直观,而且无需建立和配置特别复杂的环境。Joey使用的蜜罐软件是NFR公司的BOF(BackOfficer Friendly),BOF的最主要优点是免费和简单,而且BOF的功能已经足以完成Joey要求的任务了。可获得的最新版本的BOF是1.0.1,可以模拟的系统服务包括FTP、HTTP、SMTP、POP3、Telnet等等。一旦攻击者对这些服务进行探测,BOF将记录这些事件并可以尝试对这些扫描流量进行响应。在Joey将部署了BOF的计算机Notebook连接到网络上之后不到3分钟,就收到了连入HTTP服务的请求,BOF记录了这一攻击请求。这样的证据表明网络上有人利用自动化的工具试图在大量的目标计算机中探测开启了HTTP服务的计算机(Notebook本身是不提供HTTP服务的),接下来可能是一系列针对HTTP服务的弱点发现和攻击。最后需要说明的是,Joey在Notebook上尽可能的限制了所有的网络服务和向外连接的能力,因为Notebook部署在防火墙之外,因为该计算机被攻破之后会被攻击者用于对互联网上的其它机器进行攻击,这种责任感是建立蜜罐系统的最基本要求之一。
Windows与Linux蜜罐的搭建
由于模拟Windows和Linux系统的蜜罐需要尽可能再现生产系统的情况,所以当下需要决定是通过建立真实系统的方式还是通过虚拟的方式来实现蜜罐。使用类似Notebook使用的蜜罐软件虚拟肯定是不现实的,而使用多台计算机分别对Windows和Linux系统进行模拟又比较浪费资源,所以Joey采取了一种折衷的也是当下非常流行的方法:通过虚拟机软件在一台计算机上建立多个蜜罐。Joey选择了VMWare做为虚拟机软件环境,在一台计算机中运行了三台VMWare虚拟计算机(其实这相当于一个由多个HoneyPot组成的HoneyNet),除了Windows和Linux两个蜜罐系统之外,另外还设立了一个转储日志文件等信息的专用计算机。在这台放置蜜罐系统的计算机上只保留了桥接虚拟计算机到防火墙端口流量的能力,而屏蔽了其它所有通信。这样,Joey成功的在防火墙的DMZ端口上接入了三个蜜罐系统,而实际上这些系统是运行在一台物理计算机上的虚拟系统。为了降低攻击者发现这一事实的可能,Joey还尽可能对这些虚拟的系统进行了修补。通过VMWare虚拟的计算机会提供一些线索使攻击者判断出这并不是真实的计算机,而对于Joey来说并不“需要”攻击者发现这些蜜罐系统的真实身份。主要的问题包括:Linux蜜罐的启动日志会反映出与VMWare相关的信息;VMWare虚拟计算机的MAC地址在一个特定的范围内,攻击者可以通过比对一个清单发现这是VMWare虚拟机还是真实的计算机;可以从硬件设备的型号和厂商编号上获得一些线索。这些问题是比较明显的,还有一些问题可能导致攻击者发现虚拟机蜜罐的真实身份,应该在尽可能的情况下对这些问题进行处理。为了增强蜜罐系统的功用,Joey还尝试将Linux蜜罐伪装成一台文件服务器,并在其中放置了一下虚假的但是看起来十分详尽的设计文档。高阶的有目的性的攻击者可能会将这些文档视为CT共享给公司合作伙伴的资料,从而暴露他们的行踪。建立模拟真实系统的蜜罐一个最繁琐的工作就是配置,对于Joey所要达到的目的来说,他只要完全模仿公司的计算机配置就可以了。在很多时候,用户还需要对蜜罐系统进行更多配置。不论希望蜜罐系统起到什么样的作用,都需要对蜜罐系统的上的数据保存和数据流向控制进行适当的管理。
由于模拟Windows和Linux系统的蜜罐需要尽可能再现生产系统的情况,所以当下需要决定是通过建立真实系统的方式还是通过虚拟的方式来实现蜜罐。使用类似Notebook使用的蜜罐软件虚拟肯定是不现实的,而使用多台计算机分别对Windows和Linux系统进行模拟又比较浪费资源,所以Joey采取了一种折衷的也是当下非常流行的方法:通过虚拟机软件在一台计算机上建立多个蜜罐。Joey选择了VMWare做为虚拟机软件环境,在一台计算机中运行了三台VMWare虚拟计算机(其实这相当于一个由多个HoneyPot组成的HoneyNet),除了Windows和Linux两个蜜罐系统之外,另外还设立了一个转储日志文件等信息的专用计算机。在这台放置蜜罐系统的计算机上只保留了桥接虚拟计算机到防火墙端口流量的能力,而屏蔽了其它所有通信。这样,Joey成功的在防火墙的DMZ端口上接入了三个蜜罐系统,而实际上这些系统是运行在一台物理计算机上的虚拟系统。为了降低攻击者发现这一事实的可能,Joey还尽可能对这些虚拟的系统进行了修补。通过VMWare虚拟的计算机会提供一些线索使攻击者判断出这并不是真实的计算机,而对于Joey来说并不“需要”攻击者发现这些蜜罐系统的真实身份。主要的问题包括:Linux蜜罐的启动日志会反映出与VMWare相关的信息;VMWare虚拟计算机的MAC地址在一个特定的范围内,攻击者可以通过比对一个清单发现这是VMWare虚拟机还是真实的计算机;可以从硬件设备的型号和厂商编号上获得一些线索。这些问题是比较明显的,还有一些问题可能导致攻击者发现虚拟机蜜罐的真实身份,应该在尽可能的情况下对这些问题进行处理。为了增强蜜罐系统的功用,Joey还尝试将Linux蜜罐伪装成一台文件服务器,并在其中放置了一下虚假的但是看起来十分详尽的设计文档。高阶的有目的性的攻击者可能会将这些文档视为CT共享给公司合作伙伴的资料,从而暴露他们的行踪。建立模拟真实系统的蜜罐一个最繁琐的工作就是配置,对于Joey所要达到的目的来说,他只要完全模仿公司的计算机配置就可以了。在很多时候,用户还需要对蜜罐系统进行更多配置。不论希望蜜罐系统起到什么样的作用,都需要对蜜罐系统的上的数据保存和数据流向控制进行适当的管理。
蜜罐系统的维护
在成功的搭建起蜜罐系统之后,更重要的是对蜜罐系统进行维护和管理,这样才能发挥蜜罐系统的作用。维护蜜罐系统的首要问题是如何存储蜜罐采集的数据。尽管蜜罐系统采集的数据量不会很大,但是同样需要妥善的保存以做为证据存档,同时应该尽量注意形式统一以方便日后分析。第二个需要处理的问题是蜜罐系统如何产生报警,在大部分情况下要求发现攻击之后尽早的介入,这样有可能获得更多的信息。由于在此案例中并不需要蜜罐之间的交叉分析,所以Joey只是单纯的将所有捕获的数据传送到VMWare蜜罐上专门收集信息的虚拟计算机上。Joey相对来说更关心这个配置是否容易受到攻击,也就是说一旦Windows和Linux这两个蜜罐受到攻击并被攻击者控制,Joey的主要目的就已经达到了。之后可以从定期转储出的数据中分析目前的安全配置存在哪些问题。
在成功的搭建起蜜罐系统之后,更重要的是对蜜罐系统进行维护和管理,这样才能发挥蜜罐系统的作用。维护蜜罐系统的首要问题是如何存储蜜罐采集的数据。尽管蜜罐系统采集的数据量不会很大,但是同样需要妥善的保存以做为证据存档,同时应该尽量注意形式统一以方便日后分析。第二个需要处理的问题是蜜罐系统如何产生报警,在大部分情况下要求发现攻击之后尽早的介入,这样有可能获得更多的信息。由于在此案例中并不需要蜜罐之间的交叉分析,所以Joey只是单纯的将所有捕获的数据传送到VMWare蜜罐上专门收集信息的虚拟计算机上。Joey相对来说更关心这个配置是否容易受到攻击,也就是说一旦Windows和Linux这两个蜜罐受到攻击并被攻击者控制,Joey的主要目的就已经达到了。之后可以从定期转储出的数据中分析目前的安全配置存在哪些问题。
后记
Joey为公司部署的蜜罐系统并不是完美无缺的,但是最重要的一点是,这些蜜罐真的有用。没有花费太长的时间,这些蜜罐系统就给了Joey他想要的东西。Notebook记录了上千条扫描记录,这些数据让管理层有点瞠目结舌,而那些懵懂的同事也开始明白他们在网上闲逛的时候暗地里都有些什么事情发生了。Windows蜜罐在上线的第三天就被一种特洛木马控制了,由于木马程序所需的服务端口被防火墙规则所限制,内网的用户才一直没有受到困扰。这不仅证明了防火墙设备确实在发挥作用,也提醒Joey应该着手引进更强大的恶意软件检测能力(相信管理层会认真考虑这一点)。而Linux蜜罐受到的探测也相当频繁,由于Joey对公司的Linux系统采取了较为严格的安全策略,所以Linux蜜罐并没有被攻破。从Linux蜜罐记录的信息中发现了很多新型攻击的迹象,所幸的是这些攻击的目标服务没有开启。这类事件让Joey更直观的了解到应该保障Linux的更新同样非常重要,因为如果这些攻击针对的不是外围服务而是系统级组件那么公司的Linux计算机将可能暴露在攻击之下。可以确定的一点是,Joey乃至个公司都从蜜罐系统的应用中学到了一些东西,而目前还只是在局部领域应用了蜜罐系统而已。任何组织都可以通过适当的采用蜜罐系统从而提升自身的安全防御品质,并有效的提高组织内部人员的安全技能和安全意识。
Joey为公司部署的蜜罐系统并不是完美无缺的,但是最重要的一点是,这些蜜罐真的有用。没有花费太长的时间,这些蜜罐系统就给了Joey他想要的东西。Notebook记录了上千条扫描记录,这些数据让管理层有点瞠目结舌,而那些懵懂的同事也开始明白他们在网上闲逛的时候暗地里都有些什么事情发生了。Windows蜜罐在上线的第三天就被一种特洛木马控制了,由于木马程序所需的服务端口被防火墙规则所限制,内网的用户才一直没有受到困扰。这不仅证明了防火墙设备确实在发挥作用,也提醒Joey应该着手引进更强大的恶意软件检测能力(相信管理层会认真考虑这一点)。而Linux蜜罐受到的探测也相当频繁,由于Joey对公司的Linux系统采取了较为严格的安全策略,所以Linux蜜罐并没有被攻破。从Linux蜜罐记录的信息中发现了很多新型攻击的迹象,所幸的是这些攻击的目标服务没有开启。这类事件让Joey更直观的了解到应该保障Linux的更新同样非常重要,因为如果这些攻击针对的不是外围服务而是系统级组件那么公司的Linux计算机将可能暴露在攻击之下。可以确定的一点是,Joey乃至个公司都从蜜罐系统的应用中学到了一些东西,而目前还只是在局部领域应用了蜜罐系统而已。任何组织都可以通过适当的采用蜜罐系统从而提升自身的安全防御品质,并有效的提高组织内部人员的安全技能和安全意识。
本文出自 “离子翼” 博客,转载请与作者联系!