入侵检测蜜罐简化了网络安全性
低成本、低混乱的蜜罐是抵御外部攻击和内部威胁的高效预警系统;KFSensor、HoneyPoint和Honeyd提供安全、轻松和灵活性
入侵检测是一个复杂的业务。无论您是部署入侵检测系统(IDS),还是您收集和分析计算机和设备日志在您的网络上,识别合法活动海洋中的恶意流量可能既困难又耗时。
蜜罐使识别恶意交通而变得简单。这是因为蜜罐的任何流量,在一些初步快速调整以排除误报后,是可疑的。蜜罐是一个假的计算机资产,只有在触摸时只能提醒其所有者。没有人应该触摸它或试图登录。因为所有活动都是非法的,所以没有需要分析来讲述良好的交通。唯一的问题是,入侵者有多危险?
[使用InfoWorld的交互式掌握您的安全性安全iGuide。|及时了解有InfoWorld的最新安全开发安全中央时事通讯。]
作为一个长期安全专业人士(和书的作者“Windows的蜜罐“),我在互联网上维护了八个不同的蜜罐,以跟踪黑客和恶意软件行为。我能够从脚本 - Kiddie病毒演变为职业攻击的互联网恶意软件。我能够看到并了解银行账户窃取特洛伊木马在安全世界中众所周知的时候,我已经看到了戴克斯(信用卡打交道)第一手运营。
更重要的是,我看到了蜜罐在企业环境中的影响,它们作为基本的早期预警系统而闪耀着光芒。我曾见过企业局域网中的蜜罐捕捉外国工业间谍,诱捕被信任的内部人员,并警告安全团队存在一个未被发现的四处游荡的恶意软件程序。在部署honeypot近10年的时间里,我还没有创建一个在安装后几天内没有发现恶意的软件。
简而言之,当用作预警系统时,蜜罐是低成本,低噪声,低维护,但在提高网络环境中的威胁方面非常有效。它们属于任何防御深度计划。
通过这一建议,我介绍了三种可用的蜜罐软件解决方案:Keyfocuskfsensor.,微笑的Honeypoint安全服务器和自由开源蜜岛。我在封闭的实验室环境中测试了所有三个蜜罐,在Windows Server 2008 R2 Hyper-V托管的虚拟机内运行它们。KFSensor和Honeypoint在Windows 7 Enterprise上运行,HoneyD在Ubuntu 9.1上运行。使用Nessus 4.2.2,BackTrack 4工具和来自同一私有LAN上的远程物理机器的手动连接进行模拟攻击探针。禁用所有基于主机的防火墙,并且用户帐户控制(UAC)在Windows计算机上禁用,因为可能会挫败可能成功的各种攻击和探针。
为什么使用专门的蜜罐软件?您不需要kfsensor,honeyd或honeypoint安全服务器来设置蜜罐。我经常向读者推荐他们拿一台旧电脑,他们准备扔掉并用作早期警告蜜罐。你已经支付了硬件和软件,所以为什么不把它放在良好的用途?(见侧边栏中的提示,“廉价的入侵检测:滚动自己的蜜罐。“)
专用蜜罐软件比那台旧电脑有许多优点。首先,蜜罐软件通常为你做艰苦的工作。它们设置了服务,提供了一系列假功能,并简化了日志记录和警报。大多数蜜罐软件程序都带有中低端交互服务,并允许简单的定制。
其次,蜜罐软件通常在数据捕获时擅长,有时提供入侵检测签名,数据包捕获和网络协议分析,易于过滤和微调。例如,一些基于GUI的蜜曲幅屏幕允许您单击事件消息以创建“忽略规则”以过滤掉合法流量。与配置旧电脑进行蜜罐职责相比,专门的蜜罐计划挤压了两天的过程,以10或15分钟的实际工作。
高互动蜜罐与低交互蜜罐当人们想到蜜罐时,他们经常想到复杂,高度现实的“陷阱”,其中黑客遇到一系列全功能服务(一个现实网站,具有更新的电子邮件的电子邮件服务器,等等),可以跟踪他的每一个移动。这些类型的高互动蜜罐提供了高价值网络资产的逼真仿真,以获得重大管理员努力。他们的复杂性旨在更好地确定黑客的动机,并更好地记录黑客所做的。
例如,一旦我在大型防御承包商处于大型防御承包商时,一个新安装的蜜罐抓住了某人探测SharePoint Web服务器。我们迅速设置了该网站的三个区域,旨在帮助我们我们的入侵者:一个带电脑游戏的部分,托管“秘密”NASA航天飞机计划的一节,并且一个声称拥有F17战斗机试验码的部分。秘密航天飞机计划只是从NASA的公共网站上重定向。黑客快速前往航天飞机计划,并开始使用SharePoint的搜索功能来查找中东主题。这不是游戏玩家。后来,黑客被发现是在公司会计部门工作的外国间谍作为临时工。
因为高互动蜜罐需要很多工作并带来攻击者将使用被剥削的蜜罐来造成伤害的风险(例如,攻击其他公司,安装密码嗅探器等),我鼓励大多数公司使用低或中等互动蜜罐。中等互动蜜罐伪造常见任务,但不实现全方位服务。例如,假冒FTP服务可能允许探测器尝试登录,或者它可能允许它们匿名登录并提供要下载的虚假文件。假电子邮件服务器甚至可能让攻击者读取并发送电子邮件。KFSensor允许在假服务上发送一些电子邮件,以便潜在的垃圾邮件发送者可能被欺骗,以思考他找到了一个真正的电子邮件服务器。这个想法是提供足够的功能来确定入侵者是否构成威胁,但不足以让入侵者带来太远。
低互动蜜罐是最简单的。作为早期预警系统的蜜罐通常是低交互的,这意味着它们监视一个或多个网络端口,并在某些东西试图连接到某个特定端口时发出警报。低交互性的蜜罐不会试图看起来像完全成型的、合法的服务。攻击者很少能理解为什么远程端口不能正确响应,他们会在尝试几次之后继续前进。这没问题,因为你们已经记录了探测的起始点并且正在自己探索它。
虽然低互动蜜罐不做一个批量来说服入侵者,他们是真实的,但他们不必。他们唯一的工作是在某些东西触摸它们时提醒计算机安全或事件响应团队。
蜜罐软件功能所有蜜罐都有一些共同的核心功能。首先,他们必须发布一个或多个将吸引入侵者的港口和服务。接下来,它们必须至少捕获在连接尝试中发送的入侵者的始发地址(通常是IP地址),日期,时间和数据。应记录所有连接尝试(除非被指示被忽略)并生成警报,以便涉及事件响应团队。最后,一个伟大的蜜罐有助于数据分析,无论是通过详细的数据包分析,密码尝试分析,还是将相关探头汇总到一个事件中。每个蜜罐都做到了这一点,并且如何实现评估发生的事情。
平台和安装。蜜罐软件应该易于安装和配置。在这方面,KFSensor在所有方面都是最好的gui,尽管它只运行在Windows上(XP和更高版本)。HoneyPoint和Honeyd可以在Windows、Linux和Mac OS X上运行,Honeyd还支持BSD和Solaris。安装HoneyPoint相当简单,但是需要少量的文本文件操作来获得许可。Honeyd是三种蜜罐中用途最广的一种;不幸的是,它也是最难安装和配置的。长期使用Linux命令行的用户会觉得熟悉,但是Windows用户通常会对下载、编译和配置工作感到畏惧,这些工作都是在命令行进行的。这三个蜜罐都可以作为用户模式程序或系统服务或守护进程运行。作为系统服务运行使它们更容易在重新启动后恢复操作。
仿真水平和服务。大多数蜜罐计划与媒体相互作用的相互作用是低的相互作用 - 或者更准确地说某些服务在低水平和中等中的其他服务中被仿真。所有三个蜜罐审查落入低至中等仿真范围。如果特定服务需要高相互作用,KFSENSOR和HONEYD允许将探针路由到外部真实系统。转发的攻击者仍然认为他连接到相同的目标系统和IP地址,蜜罐继续捕获数据,以便管理员可以完整了解攻击者正在进行的内容。
所有蜜罐都必须模拟一个或多个服务,要做到这一点,它们必须监听那些服务的TCP或UDP(或ICMP)端口。许多蜜罐仅模拟有限的一组端口。KFSensor、Honeyd和HoneyPoint都声称可以模拟整个范围的TCP和UDP端口(0到65,535)。我没有在这篇评论中测试这些说法,但我在过去已经在KFSensor和Honeyd上验证过。Honeyd做所有端口都很容易,性能最好。虽然早期版本的KFSensor不能完成所有的端口,但是最新的企业版本可以。再说一次,我没有测试HoneyPoint的说法。
注意:蜜罐不能绑定到底层主机操作系统已经绑定到的端口。例如,基于windows的蜜罐无法模拟NetBIOS服务,除非在主机上禁用文件和打印机共享,并且SMB/CIFS已经关闭。这是意料之中的。
我在配蜜罐功能表蜜罐是否具有特定的模拟服务内置,而不需要其他软件或脚本。对于低互动蜜罐,您可以更好地模拟的服务越多。在一个Windows商店中,涵盖所有流行的Microsoft应用程序和服务几乎是必不可少的 - 这就是攻击者将要找的东西。KFSensor附带了最内置的服务,然后是Honeypoint。蜜月提供广泛的开源仿真脚本,但只需预先安装了一些。
网络仿真。KFSensor和Honeypoint根本没有任何网络仿真功能,依赖于主机和主机网络的所有路由。HONEYD具有广泛的网络仿真,不仅伪造了整个路由方案(包括路线,跳跃,延迟和数据包丢失),还包括每个模拟OS的网络堆栈。它可以愚弄nmap和xprobe指纹扫描。单个蜜德实例可以使看似似乎100个不同的系统在各种虚拟化IP地址上运行。没有其他蜜罐产品可以匹配它。
然而,它携带注意到,大多数攻击者都不做网络指纹和分析。他们寻找一个港口,找到它,快速尝试查看它正在运行的东西 - 只要有点发现,如果是的话。在较小的百分比情况下,攻击者将运行详细的指纹识别工具(如NMAP或Xprobe2),并且在这些情况下,网络堆栈仿真非常重要。但在绝大多数攻击中,蜜师的详细网络级仿真和颗粒精度是矫枉过正。对于蜜罐纯粹主义者或蜜罐管理员试图隐藏好,这是一个重要的特征。在我们其他大部分时间内,这是不必要的。
警报和记录。如果没有强烈的警告和记录,蜜罐是无用的。所有蜜罐都将连接尝试显示为警报,无论是在传感器上还是在中央控制台上。警报应该允许为每个传感器、初始IP地址、端口甚至入侵签名设置临界级别。所有对蜜罐的调查都应该进行调查,尽管有些调查比其他的更可疑。例如,来自更安全网络的探测可能意味着更严重的危害。出于这个原因,一个在非政府网络上有蜜罐的国防工业客户想要对来自遥远的机密政府网络的流量设置最高优先级。如果探测来自更敏感的网络,客户端希望立即向其事件响应团队发出警报。KFSensor在设置临界水平方面提供了最多功能,其次是Honeyd,然后是HoneyPoint。