摘 要:本文对蜜罐的关键技术进行了深入研究并进行了详细论述,并在此基础上结合现有工具和技术设计实现了一个改进的高交互度的蜜罐系统。该蜜罐系统成功实现了多层次的数据捕获和数据控制功能。
关键词:蜜罐技术;网络安全;局域网
1.引言
许多局域网由于安全意识与资金方面的原因,在安全方面往往没有太多的设置,常常只是在内部网与互联网之间放一个防火墙就了事了,甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。这些安全隐患发生任何一次对整个网络都将是致命性的。如何保证局域网内的网络安全是让目前计算机安全技术人员头痛的一件事情。本文提出蜜罐技术在局域网安全解决方案中的应用。
2.蜜罐技术
蜜罐系统是通过一个精心设置的蜜罐系统来引诱黑客,并对黑客进行跟踪,借以获得黑客攻击系统的信息,这些信息可以被用来了解他们使用的攻击工具和方法,发现系统的未知漏洞以及相应的攻击,这样就可以更好地保护系统和网络的安全。在实际应用中,蜜罐可以是一段程序、一台机器等,作为诱饵被部署在网络上来吸引黑客对其进行攻击。
3.多层次数据控制蜜罐技术
该蜜罐系统由网关、虚拟蜜罐和控制台三部分构成,如图1所示。其中最为重要的是以桥接模式部署的网关,网关包括三个网络接口,其中eth0连接外网,ethl连接蜜罐主机,两个接口以桥接方式连接。网关的另一网络接口eth2连接监控机,使得安全研究人员能够远程对网关进行控制,该接口一般使用内部IP,并严密防护。
图1系统架构图
系统在网关上使用了多层次的数据控制机制,包括使用IP Tables防火墙提供外出流量限制和使用网络入侵检测系统对己知攻击进行无效化。外出流量限制机制通过IP Tables限制每台蜜罐主机在单位时间内允许向外发起的连接数以及流量速率,一旦攻击者试图利用攻陷的蜜罐主机向外发起扫描、拒绝服务攻击等,网关上的IP Table。将丢弃超过限制的外出数据包,并生成警告通知安全研究人员,从而不会对第三方网络构成危害。网络入侵检测系统则通过以著名开源网络入侵检测系统Snort实现,通过查看外出的每个数据包,若发现其中包含有已知攻击特征,将生成警报并根据配置选择丢弃数据包或修改数据包使得攻击无效。同样,为了满足蜜罐系统的数据捕获需求,该蜜罐系统在网关以及各个蜜罐主机上使用了多层次的数据捕获机制,以保证为进一步分析攻击行为提供全面而丰富的攻击数据。
4.蜜罐系统结构
蜜罐系统由网关、虚拟蜜罐主机和监控机三部分构成,网关上运行防火墙IPTables、网络入侵检测系统Snort和Sebek服务器。利用虚拟机软件Vmware虚拟出两个蜜罐主机,分别运行Linux和Windows XP操作系统。并在每个虚拟蜜罐主机上运行Sebek客户端。系统结构图如图2:
图2系统结构图
5.蜜罐技术在局域网中的应用
5.1网络分析与网络安全系统配置
图3是某企业的局域网,该网络通过100M光纤连接到汇聚交换机,然后通过1000M光纤连接到核心交换机。系统的部署结合了honeyd(虚拟蜜罐)和honeynet技术,在尽可能减少投入的同时,保证了系统功能的完备和先进性。如图3所示,蜜罐系统的设计并不复杂,起到关键作用的是充当网桥的Linux主机,在上面配备了三块网卡,在网桥上集合了信息收集与信息控制功能。操作系统为Linux的蜜罐安装在宿主机上作为虚拟蜜罐,并在蜜罐中安装Sebek客户端用于信息的收集。
结合局域网服务器IP地址的分配情况,给Honeypot分配了与服务器系统在同一网段的地址,其网络拓扑图如下:
5.2系统测试
在完成系统配置后,就可以进行系统测试。通过查看控制数据和系统日志后,可以发现该文提出的安全控制方法能够很好的保障系统不被侵入,达到设计的目标。
6.结论
本文设计的局域网的安全系统,采用防火墙、入侵检测、虚拟专用网、防病毒等技术来实现网络安全系统的构建,虽然局域网有了较高安全系数的安全系统,但并不能认为局域网是绝对安全的。影响局域网的安全因素在不断地变化,黑客与病毒的攻击方式在不断地更新。要确保网络的安全就只有根据实际情况,在安全技术上采用最新的技术成果,及时调整安全策略,并不断加强安全管理,才能使我们的网络具有较高的安全性。针对目前局域网安全现状的认识与理解,在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自局域网外的攻击已经足够。
参考文献:
[1]夏明,赵小敏,陈庆章.基于蜜罐技术的病毒样本采集系统的设计和实现.信息网络安全,2006, (02):15-17
[2]高文莲.高校局域网安全设计与实现.长治学院学报,2005.4(1):39-41.
[3]王伟平,李更生,崔锦法一种基于蜜罐技术的入侵诱骗模型的研究与建立.云南大学学报(自然科学版),2006, 28 (51): 117-120
[4]黄顺华,王茜.蜜罐系统在入侵检测与响应中的研究与应用.太原理工大学学报.2006.5:62-65