Know Your Enemy:
Honeynets
什麼是Honeynet,它的價值、運作方式、風險及相關問題
Honeynet Project
http://project.honeynet.org
Last Modified: 21 April, 2001
http://www.xfocus.org
在過去的幾年中 Honeynet Project 專注於對網絡入侵者這一群體使用的各種工具、攻擊策略及目的進行研究,並且分享我們的經驗,這裡我們使用的主要工具就是Honeynet。本文闡述了Honeynet究竟是什麼、它對安全組織的價值、它的工作方式、會帶來的風險、技術難題等等。我們將使用技術手段嘗試自己去了解入侵者群體。同時我們希望這裡討論的這些技術可以幫助大家更好地構建Honeynet,更好了了解我們的敵人,我們也希望各種組織能夠了解Honeynet的基本狀況。
什麼是Honeynet
Honeynet可以說是一個學習工具!它是一個專門設計來讓人“攻陷”的網絡,一旦被入侵者所攻破,入侵者的一切信息、工具等都將被用來分析學習。其想法與honeypot相似,但兩者之間還是有些不同點的:honeypot也是一個用來讓人攻擊的網絡,通常是用來誘騙入侵者的,通常情況下,honeypot會模擬某些常見的漏洞、摸擬其它操作系統或者是在某個系統上做了設置使其成為一台“牢籠”主機。比如The Deception Toolkit(下載), CyberCop Sting, 以及 Mantrap. 是一些腳本的集合,它模擬出了一些常的系統漏洞;CyberCop Sting運行於NT平台,它模擬出多個不同系統的IP堆棧及inetd服務。Mantrap則是將Solaris系統進行了一些設置,建立起了一些“牢籠主機”。毫無疑義,這些都是相當不錯的想法,但在現在的環境下,它們有些不適合了,需要更多的改進。
Honeynet與傳統意義上的honeypot有兩個最大的不同點在於:
一個Honeynet是一個網絡系統,而並非某台單一主機,這一網絡系統是隱藏在防火牆後面的,所有進出的數據都受到關注、捕獲及控制。這些被捕獲的數據可以對我們研究分析入侵者們使用的工具、方法及動機。在這個Honeynet中,我們可以使用各種不同的操作系統及設備,如Solaris, Linux, Windows NT, Cisco Switch, 等等。這樣建立的網絡環境看上去會更加真實可信,同時我們還有不同的系統平台上面運行著不同的服務,比如Linux的DNS server,Windows NT的webserver或者一個Solaris的FTP server,我們可以學習不同的工具以及不同的策略——或許某些入侵者僅僅把目標定於幾個特定的系統漏洞上,而我們這種多樣化的系統,就可能更多了揭示出他們的一些特性。
在Honeynet中的所有系統都是標准的機器,上面運行的都是真實完整的操作系統及應用程序——就象你在互聯網上找到的系統一樣。我們沒有刻意地模擬某種環境或者故意地使系統不安全。在Honeynet裡面找到的存在風險的系統,與在互聯網上一些公司組織的毫無二致。你可以簡單地把你的操作系統放到Honeynet中,並不會對整個網絡造成影響。
我們的Honeynet ProjectIt使用的是在互聯網上最常見到的操作系統,比如默認安裝的Linux, Solaris, Windows98以及Windows NT,正因為我們使用的是最常見、普通的系統,我們的研究成果才會對大多數的互聯網組織有實用意義。
Honeynet 的價值、法律相關事務
傳統意義上的信息安全,一般都是防御性質的,比如防火牆、入侵檢測系統、加密等等,它們都是用來保護我們的信息資產的,他們的策略是,先考慮系統可能出現哪些問題,然後對問題一一進行分析解決。而Honeynet希望做到的是改變這一思路,使其更具交互性——它的主要功能是用來學習了解敵人(入侵者)的思路、工具、目的。通過獲取這些技能,互聯網上的組織將會更好地理解他們所遇到的威脅,並且理解如何防止這些威脅。通過honeynet,組織可以在與入侵者的“游擊戰爭”中獲得最大的主動權。
例如,Honeynet能夠收集的信息的主要來源之一是入侵者團體之間的通信,諸如IRC(Internet在線聊天系統)。入侵者經常在彼此之間自由交談,揭示了他們的動機,目的,和行動。我們通過使用Honeynets,已經捕獲了這些談話內容,監控了他們之間說過的每一句話,我們甚至已經捕獲了與攻擊我們的系統有牽連的入侵者的實時錄像。這使我們能夠清楚地洞察入侵者們是如何針對特定系統以及他們攻擊系統的能力。你可以參見Know Your Enemy: Motives中的例子。在這份文件中,我們追蹤了把一個特殊的國家作為攻擊目標的一組入侵者。經過三個周的時間,我們不僅了解了他們是如何把系統作為目標和如何攻擊系統的,而且更重要的是,了解了他們這樣做的原因。根據這種詳細的信息,我們現在能夠更好的理解和防護這種常見的威脅。
Honeynets也為組織提供了關於他們自己的安全風險和脆弱性的一些經驗。Honeynets的內容涵蓋了組織在其特定環境下系統和應用軟件。公司或者組織可以通過對Honeynet的學習及使用,提高增強自己的能力。例如,某家公司可能想提供一個新的網絡服務器,以便其網上支付系統。其操作系統和應用程序如果能夠先在一Honeynet的中得到檢驗以識別任何未知的風險和脆弱性,將會在很大程度上提高其可靠程度。我們自己在Honeynet的工作平台上檢驗IDS、防火牆等過程中就得到了相當多的經驗。
最後,一個Honeynet能夠幫助一個組織發展它的事件響應能力。在過去的兩年中,我們已經極大地提高了我們檢測、響應、恢復、和分析受侵害系統的能力。根據這些經驗,我們已經發表了兩篇文章,就是 Know Your Enemy: Forensic Analysis 和 The Forensic Challenge 其中提到的一些技巧是:如果你發現了一個受到入侵的系統,你或許可以把它當成一個挑戰,使用各種技術來捕獲或者分析入侵者的行為並且不被他察覺。同時,你捕獲的數據也可以存儲在一個攻擊特征庫中,今後你如果在其它事件中發現類似的特征代碼,你就可以輕易地判斷出其攻擊方式了。
但是這些方法在法律上遇上了一些麻煩
誘捕的問題:
誘捕是一個法律術語,用於執法人員誘使一個罪犯從事一項非法行為,否則他們可能不會從事該非法行為。我們不是執法部門,我們不是在執法部門的控制下行動,而且我們甚至沒有起訴的意圖,所以,我們不認為安裝一個Honeynet是誘捕行為。其他人將爭論說我們正在提供一個“吸引人的目標”,意味著我們把不可靠的系統置於網上,以誘使人們攻擊他們,從而把他們作為攻擊別人的手段來使用。這也是錯誤的,因為我們並沒有通過任何方式來宣傳這些系統。如果有人發現了我們的一個系統,損害了它,並且使用它作他們不應當做的事情,那是因為他們在主動地和有意地從事這種非授權的行為。
保密的問題:
而關於這些活動有一些道德上的和倫理上的問題(我們在內部一直在努力解決這些問題),最近由美國司法局,刑事庭,計算機犯罪和知識產權部門出版的Searching and Seizing Computers and OBTaining Electronic Evidence in Criminal Investigations這本書中,提供了幾個案例參考,受理上訴的法官裁定,反對對於在計算機入侵和欺騙的犯罪案件中,對侵犯隱私權進行辯護。包括下面一些問題:
入侵這些系統的人是未經授權的,如果他們把任何文件置於系統上(當他們沒有合法的帳號或使用特權時),我們認為他們已經不能保有在我們系統上的隱私權。
通過使用我們的系統進行通信,他們就已經在通信中放棄了他們的隱私權。
我們不提供公用的帳號,所以我們不是一個服務供應商,不受為服務供應商所設計的保密要求的限制。
不管怎樣,我們不是執法部門,我們也不是在執法部門的控制下行動,或甚至起訴入侵我們系統的入侵者,所以,我們不受證據收集規定的限制,而執法部門和他們的執法人員卻要受到其限制。
即使我們真的目擊了一起嚴重的計算機犯罪,並且決定告發它,我們收集日志和記錄網絡流量,將其作為一個“商業運營”的常規過程,如果我們決定告發的時候,我們可以自由地將其交給執法部門。
在美國司法系統的最高層作出更加清楚的判斷之前,我們認為我們遵守了當前的法律,並且保持在適當的界限之內。(那些美國之外的國家,在使用Honeynet之前,應當咨詢你們自己的法律機構以尋求指導。)
工作方式
既然我們的目的是對入侵者群體進行研究,我們就必須能夠跟蹤他們的舉動,要建立一個透明的環境,以使我們能夠對Honeynet裡發生的任何事都有清楚的了解。傳統的方法是對網絡流量進行監控,這裡存在一個最大的問題就是過大的數據量使安全工程師疲於奔命。我們必須從大量的數據中判斷哪些是正常的流量,哪些是惡意的活動。一些如入侵檢測系統、基於主機的檢測及日志分析的工具、技術會在很大程度上帶來幫助。但是數據過載、信息被破壞、未知的活動、偽造的日志等等都會對我們的檢查分析帶來困難。
Honeynet對此采用了最簡單的解決方式。我們的目的是研究系統被侵害的一些相關事件,而不是分析網絡流量,我們認為,從外界對Honeynet的訪問,除去正常訪問外,其它可能是一些掃描、探測及攻擊的行為,而從系統內部對外界發起的連接,一般情況下,表明了系統被侵害了,入侵者利用它在進行一些活動。這使我們的分析活動相對簡單化。
要成功地建立一個Honeynet,我們需要面臨兩個問題:信息控制及信息捕獲。信息控制代表了一種規則,你必須能夠確定你的信息包能夠發送到什麼地方。其目的是,當你Honeynet裡的Honeypot主機被入侵後,它不會被用來攻擊在Honeynet以外的機器。信息捕獲則是要抓到入侵者群體們的所有流量,從他們的擊鍵到他們發送的信息包。只有這樣,我樣才能進一步分析他們使用的工具、策略及目的。
信息控制
如我們上面所說的,信息控制是對入侵者的行為進行規則上的定義,讓他
信息控制
如我們上面所說的,信息控制是對入侵者的行為進行規則上的定義,讓他
