摘 要:蜜场是由蜜罐技术逐步发展起来的概念,它在大型分布式网络中部署可以节约人力和物力。本文研究如何在具有多个子网的大型局域网中构建一个具有主动防御作用的网络安全防护系统,使之能够从全局着眼,广泛搜集攻击样本。
关键词:网络安全;蜜罐;蜜场
引言
校园网络作为一个特殊的网络(既有来自外网的攻击,也有来自内网的攻击),其安全问题亟待解决。传统的被动防御技术不能对黑客行为作出主动的布局控制,而具有主动防御性能的蜜罐技术则弥补其不足。在蜜罐技术基础上发展起来的蜜场思想的提出是为了解决在大型分布式网络中部署蜜罐时存在,诸如需要大量的人力和时间进行部署、管理和维护等一系列问题[1]。它在具有多个校区的高校网络构建中具有十分重要的意义。
1 蜜罐和蜜场技术简介
蜜罐(Honeypot)是一种安全资源,它的价值就在于被探测、攻击或攻陷。蜜罐是一种没有任何产品价值的的安全资源,一种对行为欺骗攻击者施以监视并记录其对Honeypot系统进行探测、攻击及危害的主体的行为,从而达到保护真实主机的目标的诱骗技术。没有任何人或者资源应该和它们通信,因此,从本质上说任何与Honeypots交互的行为都可被认为是攻击行为[2]。蜜场(honeyfarm)是蜜罐技术的延伸,它以“逻辑上分散部署,物理上集中部署”的优点,使得在大规模分布式网络中部署蜜罐成为一件简单的事。蜜场系统的体系结构如图1所示。它由重定向器、前端处理器、控制中心及集中部署的蜜罐群组成。
图1:蜜场体系结构图
Figure 1: the Architecture of Honeyfarm
蜜场的工作原理比较简单:将所有的蜜罐都集中部署在一个独立的网络中,这个网络成为蜜场的中心;在每个需要进行监控的子网中布置一个重定向器(Redirector),重定向器以软件形式存在,它监听对未用地址或端口的非法访问,但它们不直接响应,而是把这些非法访问通过某种保密的方式重定向到被严密监控的蜜场中心;蜜场中心选择某台蜜罐对攻击信息进行响应,然后把响应传回到具有非法访问的子网中去,并且利用一些手段对攻击信息进行收集和分析。
2 基于蜜场的局域网设计
在此,以一个具有多个校区的校园网为例,它结合防火墙、入侵检测和蜜场多种技术,其体系结构如图2所示。它是由防火墙、IDS、各校区子网及蜜场组成。
图2:主动防御系统结构图
Figure 2: the Structure of the Active Defense System
蜜场由前端处理器、控制中心、蜜罐群组成。前端处理器相当于蜜场控制中心的一个网关,它接受来自重定向器转发的已经封装的数据包,把它们按照某种规则分发到蜜场中蜜罐群里的相应的蜜罐中去,并把蜜罐返回的数据发回给重定向器。控制中心负责管理协调各种部件的工作,它管理和记录所有进出蜜场的数据,并利用统计、数据挖掘等手段对捕获的数据进行分析,并从中发现新的未知攻击,生成新的防护规则。蜜罐群是被集中放置在一个独立的网络中的所有蜜罐,蜜罐群中的蜜罐系统是实际上与攻击者打交道的系统。它消耗黑客的时间,了解其使用的技术和攻击方法,追踪其来源,记录其犯罪证据,从而有效地防范黑客入侵。
在各校区子网中都部署了一个重定向器,它将该子网中受监控的可疑数据重定向到蜜场中心,并且将蜜罐通过前端处理器返回的数据发送给攻击者。
在外网和校区子网之间设置带IDS的防火墙。IDS起到检测的作用(IDS主要检测基于规则的已知攻击)。防火墙起保护、阻断作用。
3 基于蜜场的校园网的关键功能设计
3.1 重定向器的设计
重定向器处于各校区子网中,它的设计重点在于空闲IP监控模块和数据转发模块。空闲IP监控模块必须能够抓取流向受监控空闲IP地址的所有数据,本系统中利用ARP代理技术把受监控空闲IP地址与重定向器的MAC地址关联起来。每个受保护子网中的重定向器与受监控空闲IP地址绑定。如果攻击者企图与任一个空闲IP地址连接,则重定向器就会自动地用自己的MAC地址进行响应。
数据转发模块为攻击者提供透明的转发服务,将所有流向受监控空闲IP地址的数据转发到蜜罐群中的某个蜜罐中去。当攻击者访问被保护子网中受监控空闲IP地址时,它便主动作为网络信息的一个中转站,将信息取回后交给蜜场。
3.2 前端处理器的设计
前端处理器的数据控制模块实现保证蜜罐被攻击后不会作为跳板去攻击其它的非蜜罐主机。其实质是一个网关,该网关将蜜罐所在网络与正常网络相隔离,类似一堵墙,故称之为蜜墙[3]。为了防止黑客在攻陷蜜罐后利用蜜罐系统向其它主机发起攻击,在蜜墙上实行“宽进严出”的策略。主要使用连接数限制和网络入侵防护系统来完成蜜罐的数据控制。此外还可以利用路由器本身的访问控制功能对外出数据包加以控制,禁止不属于本网段的源IP包路由。
前端处理器的难点在于数据分发模块的设计。本文借鉴NAT技术的思想,在受监控空闲IP地址与蜜罐之间建立对应关系,使一个蜜罐可以与多个空闲IP地址相对应。当有攻击者对某个受监控IP地址发起攻击时,与该IP地址所在子网相对应的蜜罐就会相应,与之发生交互。
3.3 蜜罐群的部署
蜜罐群是一个综合的网络,它由多个物理蜜罐主机构成,每个蜜罐都有真实的操作系统,并且故意保留一些系统漏洞。入侵者利用漏洞进行入侵的过程正是蜜罐系统充分记录其入侵行为的过程。此外,每个蜜罐的主机都分配了真实的IP地址,以便接受从受监控子网的重定向器转发过来的连接并记录入侵者的攻击信息。
3.4 控制中心的设计
蜜场控制中心的最终目的是收集入侵者的技术信息。它主要包括数据捕获、数据融合及数据分析模块。
数据捕获是对所有攻击活动记录,并以规定的格式对所有记录的信息保存,然后通过分析这些活动来获取他们的工具、策略以及动机。捕获的数据主要包括进出网络的数据包、入侵者的击键和屏幕信息等入侵行为。为了捕获尽可能多的数据,并保证数据的完整性,蜜场采取了3重数据捕获机制:(1)防火墙日志;(2)IDS日志; (3)蜜罐日志。
数据融合模块接受并融合蜜罐捕获的攻击信息,过滤污染和冗余的数据,整理各个蜜罐收集的大量数据,将数据归档到数据库中;将融合的数据传给攻击分析组件,给攻击分析组件和安全人员提供多层次的全面和可靠的数据。
数据分析模块要能够对融合的数据进行攻击行为分析和数据挖掘
,分析攻击者的具体活动、使用工具及其意图,提取未知攻击的特征、评定风险级别。
4 结束语
本文设计的系统是综合防护系统,它包含一个蜜场,蜜场技术为高校网络安全构建提供了新思路,其后续工作可以从如下两方面展开:第一,探索如何根据网络状况,在保证系统功能的情况下,合理确定受监控IP地址数量与蜜罐群中蜜罐数量的关系;第二,加强系统的动态性、隐蔽性方面的研究,提高系统的不可识破性和抵抗攻击的安全性。
参考文献:
Oskar Andreasson.Tptables Tutorial 1.2.0.http://www.iptables-tutorial. frozentux.net/iptables-tutorial.html.2008.9
