引用 | 编辑
upside
2006-11-06 21:57 |
楼主
|
||
x0
诱捕系统 http://www.cert.org.tw/document/column/show.php?key=98 -------------------------------------------------------------------------------- 前言 电脑与网路的使用带给现代人许多便利,电脑代替人处理许多繁杂的工作,也因此人 们越来越依赖电脑,许多公开或私人的重要资料,都存放在电脑内,公司可以藉此有效的 进行客户管理,然而对于一些有心人仕,他们会设法去取得这些有价值的资料甚至加以破 坏或修改资料。当人们利用网路进行各种活动的同时,遭受攻击的危机便如滚雪球般的扩 大,根据赛门铁克第八期网路安全威胁研究报告指出,在2005年1月1日至6月30日这段期 间,利用恶意程式码盗取金钱的新兴攻击方式日趋频繁,尤其是信用卡资料或银行资料的 外泄,而且随着线上购物及网路银行的日渐普及,这些问题将更加严重。2005上半年期间 ,在赛门铁克所收到的样本数中,前50大恶意程式码中有74%是属于会窃取机密资料的恶 意程式码威胁。由于越来越多的攻击工具出现,不需拥有很强的技术背景,一般人就可以 使用这些工具,使得网路管理者风声鹤唳,草木皆兵。 处于诡谲难测的网路中,我们需要许多工具来帮助我们建立起安全的防线,接下来我 们来介绍诱捕系统。根据 "Honeypots:Tracking Hackers" 的定义:所谓的诱捕系统 (Honeypots)是一种资讯系统资源(resource),其价值在于未经授权或非法使用此资 源。 也就是说,我们架设Honeypots的主要目标,就是让它被侦测、被攻击以及被恶意程 式(exploit code)所危害,不管Honeypots模拟何种服务或系统,其目的就是要被攻击 ,假如没有被攻击,就没有什么价值了。Honeypots和一般的安全工具不同,它的重点不 是抵挡攻击者的攻击或解决系统弱点,Honeypots可以当作入侵侦测系统,来侦测任何攻 击,并搜集和分析攻击者使用的手法。Honeypots在运作时,其基本假设是,Honeypots 模拟的是不应该存在的系统或服务,若有人欲接触此不存在的系统或服务,表示此人可 能存在不良意图,这与「愿者上钩」有相同的意味。 Honeypots的摆放地点,会因使用者的目的不同而异,如根据下图,Honeypots放在内 部网路或者DMZ区都有不同的目的,以摆放在DMZ而言,因为攻击者可能会对DMZ进行扫瞄 ,如网页伺服器或信件伺服器等,他可能会发现这些伺服器存在弱点或未修补的漏洞,同 时也会包含对您所架设的Honeypots进行扫瞄,这时Honeypots就可以将攻击者的行为进行 记录和分析,不只是进行记录,Honeypots可以更进一步的回应攻击者伪造的讯息,让攻 击者花费更多的时间在假的服务或弱点上,Honeypots便可以更详细的纪录整个攻击手法 ,让管理者了解各种不同的攻击方法,以便因应现况变更网路的安全政策,因为Honeypots 富有弹性,不像一般的系统安全工具,如防火墙等,消极的进行防御,所以Honeypots对 管理者而言,是用来发现攻击者以及分析攻击手法的重要工具。 一、Honeypots的价值以及种类: 在我们知道Honeypots的定义及其工作方式后,接下来我们仔细说明其优势: ‧资料价值 系统管理者每天收到各式各样的网路资料,系统的使用者登入资料、防火墙的log档、入 侵侦测系统的log档等等,这些资料量加起来非常的多,所以要管理者每天去观察这些数以 万计的资料是很困难的工作,但是以Honeypots来说,因为它有基本假设,所以收到的资料 应该是少量而且关键的,这些资料应该都与扫瞄、攻击等有关。 ‧资源(resource) 许多安全工具常会有系统资源有限或者用光系统资源的问题,例如防火墙可能会因为连 线资料太多,用光系统资源,导致它不再监视连线。网路式的入侵侦测系统也会因为其流 量太大,导致系统有太多连线必须要监视,而当其缓冲区满溢时,入侵侦测系统就会丢弃 封包。当有限的系统资源使用殆尽时,可能就无法记录攻击的发生。但是Honeypots并没有 系统资源的问题,因为Honeypots主要是搜集直接对它进行攻击的资料,所以不会有资料过 多的情况。 ‧简单 Honeypots不需要复杂的演算法,也不需要去维护纪录大量的攻击特性资料库,您只要将 它架设起来,它就会静静在旁边为您工作。 ‧投资报酬 我们一般使用的网路安全工具很难看出其实际产生的回馈,比如说今天我们架设了一个 防火墙,防火墙可以帮我们挡住很多攻击,虽然大家都知道这件事,但是却很难用实际的 数字去估计它的价值,因为换个角度想,万一没有攻击者,那我们还需要有防火墙吗?但 是Honeypots就可以很容易告诉我们它的好处,因为它可以告诉使用者,有多少居心不轨 的人试图连进这"不应该"存在的系统或服务,使用者不仅可以搜集这些讯息,就算没有任 何的攻击,Honeypots所提供的资讯让使用者可以利用这些讯息对其他的网路安全工具做 调整,使网路更加安全。 虽然Honeypots可以带给我们很多好处,但它也有一些限制: ‧受限制的视野: Honeypots运作的先决条件,就是攻击者必须直接对Honeypots进行攻击才有用,若使用 者是攻击其他主机,而使网路发生问题,Honeypots便不能提供有利的资讯。 ‧辨别系统的能力(fingerprinting) 许多商业Honeypots都是以实做应用层的服务为主,这样子就不能有效模拟初各种不同作 业系统的ip堆叠,这样有可能让一些扫瞄软体区分出真实系统和Honeypots的区别。 ‧风险 根据Honeypots与攻击者互动程度的不同,会有各自不同的风险,互动程度越高的话,风 险越高,若Honeypots也被攻击者攻破的话,就会产生错误的讯息来误导管理者,这样会使 得管理者执行错误的决策,非但不能有效阻挡破坏者,更有可以限制正常网路的使用。 在我们讨论出Honeypots可能的优缺点之后,我们又更深入的去看Honeypots的分类, 才能更清楚我们需要哪一种Honeypots,如何在优点与缺点中做取舍。 Honeypots可以根据两种特征来分类,第一种是以使用目的来分,可分为产品性质的 Honeypots,一种是研究性质的Honeypots,第二种是以互动程度高低来区分,可分为高互 动程度和低互动程度两种。 以使用目的作分类: ‧产品(production)性质的Honeypots 重点在于如何增加组织的安全性,最主要的工作就是将攻击者揪出,所以重点在于攻击 侦测,它的功能比较简单,搜集到的资讯也比较少,能够把攻击者找出来,便是其最重要 的任务。 ‧研究(research)性质的Honeypots 重点在于获得攻击者的资讯,得知攻击者的攻击步骤,使用哪工具,藉由这些资讯,我 们可以改善本身网路的安全程度。 以互动程度作分类: ‧高互动程度 此类的Honeypots可以取得大量的攻击者资讯,但是它们必须要花费大量的时间进行维 护,因为互动程度高,是属于风险较高的类型。因为要贴近真实的环境,所以在架设时, 会依真实的情况,比如说架设防火墙等各式各样的机器,所以维护上比较困难。 ‧低互动程度 攻击者在跟此类的Honeypots互动所产生的讯息较少,模拟的服务或系统不会给攻击者充 分的回应,所以风险也较小。也因为此类的Honeypots功能较少,所以较为安全。而其价值 在于侦测攻击活动,但是所记载的资讯也较少,所以比较不会有错误的讯息。 在介绍完整个Honeypots的定义,优缺点以及分类之后,相信读者已经对Honeypots有 初步的认识,接下来我们会介绍属于低互动程度的KFSensor使大家更加了解。 三、Honeypots软体介绍 - KFSensor: 1.KFSensor如何运作 KFSensor主要是针对Windows作业系统所提供的各项服务以及弱点进行模拟,KFSensor 可以模拟Windows的网路,如NetBIOS、SMB、CIFS,较特别的是KFSensor可以侦测到针对 Windows档案分享的攻击。此外KFSensor可以模拟如FTP、 SMB、 POP3、 HTTP、 Telnet、 SMTP 与 SOCKS等协定,来搜集攻击者的资讯。KFSensor十分容易安装与设定,不需要特别 的硬体,即使是配备低的电脑,仍可以进行安装,此外在设定上皆采用视窗介面,不需编 辑复杂的设定档,对使用者来说十分方便。它安装在电脑上并模拟真实的服务,等待该通 讯埠连接,如网页伺服器或SMTP伺服器,当安装KFSensor在目标主机或honeypot主机上时 ,就可以对骇客活动进行记录。而产生详细的log档给管理者,KFSensor对于攻击的判断 是采用签署(signature)的方式,来判断各种攻击,同时也可以输入Snort格式的规则, 以增加其防御强度。 如果说KFSensor只能搜集攻击者的情报,而不能进一步的通知管理者攻击的讯息,那 其价值便非常有限。KFSensor提供系统警报、声音警报、电子邮件发送警报、SysLog上的 警报以及EvenLog警报等。 2.KFSensor的安装及设定 安装KFSensor:可至http://www.keyfocus.net/kfsensor/download/取得试用版的下 载,并进行安装。安装完后会重开机一次,接下来有三个选项让您复选,分别是针对 Windows的服务,Linux的服务,和木马及网虫。 接下来设定诱捕主机的Domain Name,但是特别要注意的是,千万不要拿正常主机的 Domain Name重复用在诱捕主机上。KFSensor可以将资讯或警报寄到您指定的电子邮件信 箱,所以下个步骤是设定您所要接收讯息的信箱位址。KFSensor可以侦测许多通讯以及模 拟这些服务,接下来是要选择您要KFSensor侦测的网路服务。若有选择NetBios/NBT/SMB and RPC的话,就必须要关闭下面两个原本Windows会提供的服务。 ‧关闭MBT (1).开启「网路与拨号连线」内容,开启「网路连线」。 (2).选择并进入Internet protocol(TCP/IP),然后选择「进阶」。 (3).选择WINS标签页,点选「停用NetBIOS over TCP/IP」。 (4).确定后离开。 ‧关闭SMB (1).「开始」->「执行」输入regedt32。 (2).找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters。 (3).将TransportBindName改名为xTransportBindName。 ‧在检查主机是否有安装其他的软体会占用于KFSensor模拟的通讯埠。 ‧设定执行KFSensor ‧选择「Scenario」在选择「Edit Scenario」,就可对KFSensor所模拟的服务进行设定。 使用者可以根据自己的需求来设定。 3.测试KFSensor。 我们只要利用普通的扫瞄工具就可以对装有KFSensor的诱捕主机进行测验,进一步观 看KFSensor对外埠扫瞄所产生的记录及回应,使用者可以针对多种服务进行测试,以观察 此软体是否合乎需求。我们先下载SuperScan这套工具在攻击的电脑上,当安装好后,再 对KFSensor主机进行扫瞄,扫瞄时需要注意KFSensor是否有产生预期的效果,侦测到外在 的行为,以及从SuperScan所产生的讯息得知KFSensor是否可产生相对应的软体服务回应 以骗过攻击者。 在进行攻击完后,我们可以进一步的将攻击者和KFSensor主机之间的讯息进行比对。 KFSensor的功能十分强大,而且设定也十分简单,若使用者对于Unix-like的系统不熟,又 害怕编辑繁杂的设定档,KFSensor对这些使用者来说,可以说是非常方便的软体。 四、Honeypots的未来 由于Honeypots的特性,使它和一般的网路安全工具如防火墙等,有很大的不同。相信 在未来,Honeypots会扮演越来越重要的角色,能更进一步帮助使用者。在研究或者实务上 ,帮助使用者更快了解未知威胁及攻击的详细步骤,若发现攻击,则尽快的提供警报,进 一步找出攻击者,由于免费的Honeypots安装和设定上都比较困难,商业性的Honeypots架 设成本又高,所以一直都难以推广,所以Honeypots的设计应该朝向越来越容易使用且容易 安装和设定的目标迈进。在大家慢慢了解Honeypots之后,希望未来Honeypots的研究除了 可以帮助我们了解攻击者的行为之外,更可以藉此进一步的改善我们网路的使用环境,做 为网路安全的先锋,保障合法使用网路者的权益。 五、参考资料: 1.Spitzner "Honeypots Tracking Hackers" 2.资通安全专辑之十四 - 网路攻防实验教材 3.BOF http://www.nfr.com/resource/backOfficer.php 4.KFSensor http://www.keyfocus.net/kfsensor/ 5.Honeyd http://www.Honeyd.org/ 6.N. Krawetz, "Anti-honeypot technology," Security & Privacy Magazine, IEEE, vol. 2, pp. 76-79, 2004. x0
|