引用 | 編輯
upside
2006-11-06 21:57 |
樓主
|
||
x0
誘捕系統 http://www.cert.org.tw/document/column/show.php?key=98 -------------------------------------------------------------------------------- 前言 電腦與網路的使用帶給現代人許多便利,電腦代替人處理許多繁雜的工作,也因此人 們越來越依賴電腦,許多公開或私人的重要資料,都存放在電腦內,公司可以藉此有效的 進行客戶管理,然而對於一些有心人仕,他們會設法去取得這些有價值的資料甚至加以破 壞或修改資料。當人們利用網路進行各種活動的同時,遭受攻擊的危機便如滾雪球般的擴 大,根據賽門鐵克第八期網路安全威脅研究報告指出,在2005年1月1日至6月30日這段期 間,利用惡意程式碼盜取金錢的新興攻擊方式日趨頻繁,尤其是信用卡資料或銀行資料的 外洩,而且隨著線上購物及網路銀行的日漸普及,這些問題將更加嚴重。2005上半年期間 ,在賽門鐵克所收到的樣本數中,前50大惡意程式碼中有74%是屬於會竊取機密資料的惡 意程式碼威脅。由於越來越多的攻擊工具出現,不需擁有很強的技術背景,一般人就可以 使用這些工具,使得網路管理者風聲鶴唳,草木皆兵。 處於詭譎難測的網路中,我們需要許多工具來幫助我們建立起安全的防線,接下來我 們來介紹誘捕系統。根據 "Honeypots:Tracking Hackers" 的定義:所謂的誘捕系統 (Honeypots)是一種資訊系統資源(resource),其價值在於未經授權或非法使用此資 源。 也就是說,我們架設Honeypots的主要目標,就是讓它被偵測、被攻擊以及被惡意程 式(exploit code)所危害,不管Honeypots模擬何種服務或系統,其目的就是要被攻擊 ,假如沒有被攻擊,就沒有什麼價值了。Honeypots和一般的安全工具不同,它的重點不 是抵擋攻擊者的攻擊或解決系統弱點,Honeypots可以當作入侵偵測系統,來偵測任何攻 擊,並蒐集和分析攻擊者使用的手法。Honeypots在運作時,其基本假設是,Honeypots 模擬的是不應該存在的系統或服務,若有人欲接觸此不存在的系統或服務,表示此人可 能存在不良意圖,這與「願者上鉤」有相同的意味。 Honeypots的擺放地點,會因使用者的目的不同而異,如根據下圖,Honeypots放在內 部網路或者DMZ區都有不同的目的,以擺放在DMZ而言,因為攻擊者可能會對DMZ進行掃瞄 ,如網頁伺服器或信件伺服器等,他可能會發現這些伺服器存在弱點或未修補的漏洞,同 時也會包含對您所架設的Honeypots進行掃瞄,這時Honeypots就可以將攻擊者的行為進行 記錄和分析,不只是進行記錄,Honeypots可以更進一步的回應攻擊者偽造的訊息,讓攻 擊者花費更多的時間在假的服務或弱點上,Honeypots便可以更詳細的紀錄整個攻擊手法 ,讓管理者瞭解各種不同的攻擊方法,以便因應現況變更網路的安全政策,因為Honeypots 富有彈性,不像一般的系統安全工具,如防火牆等,消極的進行防禦,所以Honeypots對 管理者而言,是用來發現攻擊者以及分析攻擊手法的重要工具。 一、Honeypots的價值以及種類: 在我們知道Honeypots的定義及其工作方式後,接下來我們仔細說明其優勢: ‧資料價值 系統管理者每天收到各式各樣的網路資料,系統的使用者登入資料、防火牆的log檔、入 侵偵測系統的log檔等等,這些資料量加起來非常的多,所以要管理者每天去觀察這些數以 萬計的資料是很困難的工作,但是以Honeypots來說,因為它有基本假設,所以收到的資料 應該是少量而且關鍵的,這些資料應該都與掃瞄、攻擊等有關。 ‧資源(resource) 許多安全工具常會有系統資源有限或者用光系統資源的問題,例如防火牆可能會因為連 線資料太多,用光系統資源,導致它不再監視連線。網路式的入侵偵測系統也會因為其流 量太大,導致系統有太多連線必須要監視,而當其緩衝區滿溢時,入侵偵測系統就會丟棄 封包。當有限的系統資源使用殆盡時,可能就無法記錄攻擊的發生。但是Honeypots並沒有 系統資源的問題,因為Honeypots主要是蒐集直接對它進行攻擊的資料,所以不會有資料過 多的情況。 ‧簡單 Honeypots不需要複雜的演算法,也不需要去維護紀錄大量的攻擊特性資料庫,您只要將 它架設起來,它就會靜靜在旁邊為您工作。 ‧投資報酬 我們一般使用的網路安全工具很難看出其實際產生的回饋,比如說今天我們架設了一個 防火牆,防火牆可以幫我們擋住很多攻擊,雖然大家都知道這件事,但是卻很難用實際的 數字去估計它的價值,因為換個角度想,萬一沒有攻擊者,那我們還需要有防火牆嗎?但 是Honeypots就可以很容易告訴我們它的好處,因為它可以告訴使用者,有多少居心不軌 的人試圖連進這"不應該"存在的系統或服務,使用者不僅可以蒐集這些訊息,就算沒有任 何的攻擊,Honeypots所提供的資訊讓使用者可以利用這些訊息對其他的網路安全工具做 調整,使網路更加安全。 雖然Honeypots可以帶給我們很多好處,但它也有一些限制: ‧受限制的視野: Honeypots運作的先決條件,就是攻擊者必須直接對Honeypots進行攻擊才有用,若使用 者是攻擊其他主機,而使網路發生問題,Honeypots便不能提供有利的資訊。 ‧辨別系統的能力(fingerprinting) 許多商業Honeypots都是以實做應用層的服務為主,這樣子就不能有效模擬初各種不同作 業系統的ip堆疊,這樣有可能讓一些掃瞄軟體區分出真實系統和Honeypots的區別。 ‧風險 根據Honeypots與攻擊者互動程度的不同,會有各自不同的風險,互動程度越高的話,風 險越高,若Honeypots也被攻擊者攻破的話,就會產生錯誤的訊息來誤導管理者,這樣會使 得管理者執行錯誤的決策,非但不能有效阻擋破壞者,更有可以限制正常網路的使用。 在我們討論出Honeypots可能的優缺點之後,我們又更深入的去看Honeypots的分類, 才能更清楚我們需要哪一種Honeypots,如何在優點與缺點中做取捨。 Honeypots可以根據兩種特徵來分類,第一種是以使用目的來分,可分為產品性質的 Honeypots,一種是研究性質的Honeypots,第二種是以互動程度高低來區分,可分為高互 動程度和低互動程度兩種。 以使用目的作分類: ‧產品(production)性質的Honeypots 重點在於如何增加組織的安全性,最主要的工作就是將攻擊者揪出,所以重點在於攻擊 偵測,它的功能比較簡單,蒐集到的資訊也比較少,能夠把攻擊者找出來,便是其最重要 的任務。 ‧研究(research)性質的Honeypots 重點在於獲得攻擊者的資訊,得知攻擊者的攻擊步驟,使用哪工具,藉由這些資訊,我 們可以改善本身網路的安全程度。 以互動程度作分類: ‧高互動程度 此類的Honeypots可以取得大量的攻擊者資訊,但是它們必須要花費大量的時間進行維 護,因為互動程度高,是屬於風險較高的類型。因為要貼近真實的環境,所以在架設時, 會依真實的情況,比如說架設防火牆等各式各樣的機器,所以維護上比較困難。 ‧低互動程度 攻擊者在跟此類的Honeypots互動所產生的訊息較少,模擬的服務或系統不會給攻擊者充 分的回應,所以風險也較小。也因為此類的Honeypots功能較少,所以較為安全。而其價值 在於偵測攻擊活動,但是所記載的資訊也較少,所以比較不會有錯誤的訊息。 在介紹完整個Honeypots的定義,優缺點以及分類之後,相信讀者已經對Honeypots有 初步的認識,接下來我們會介紹屬於低互動程度的KFSensor使大家更加瞭解。 三、Honeypots軟體介紹 - KFSensor: 1.KFSensor如何運作 KFSensor主要是針對Windows作業系統所提供的各項服務以及弱點進行模擬,KFSensor 可以模擬Windows的網路,如NetBIOS、SMB、CIFS,較特別的是KFSensor可以偵測到針對 Windows檔案分享的攻擊。此外KFSensor可以模擬如FTP、 SMB、 POP3、 HTTP、 Telnet、 SMTP 與 SOCKS等協定,來蒐集攻擊者的資訊。KFSensor十分容易安裝與設定,不需要特別 的硬體,即使是配備低的電腦,仍可以進行安裝,此外在設定上皆採用視窗介面,不需編 輯複雜的設定檔,對使用者來說十分方便。它安裝在電腦上並模擬真實的服務,等待該通 訊埠連接,如網頁伺服器或SMTP伺服器,當安裝KFSensor在目標主機或honeypot主機上時 ,就可以對駭客活動進行記錄。而產生詳細的log檔給管理者,KFSensor對於攻擊的判斷 是採用簽署(signature)的方式,來判斷各種攻擊,同時也可以輸入Snort格式的規則, 以增加其防禦強度。 如果說KFSensor只能蒐集攻擊者的情報,而不能進一步的通知管理者攻擊的訊息,那 其價值便非常有限。KFSensor提供系統警報、聲音警報、電子郵件發送警報、SysLog上的 警報以及EvenLog警報等。 2.KFSensor的安裝及設定 安裝KFSensor:可至http://www.keyfocus.net/kfsensor/download/取得試用版的下 載,並進行安裝。安裝完後會重開機一次,接下來有三個選項讓您複選,分別是針對 Windows的服務,Linux的服務,和木馬及網蟲。 接下來設定誘捕主機的Domain Name,但是特別要注意的是,千萬不要拿正常主機的 Domain Name重複用在誘捕主機上。KFSensor可以將資訊或警報寄到您指定的電子郵件信 箱,所以下個步驟是設定您所要接收訊息的信箱位址。KFSensor可以偵測許多通訊以及模 擬這些服務,接下來是要選擇您要KFSensor偵測的網路服務。若有選擇NetBios/NBT/SMB and RPC的話,就必須要關閉下面兩個原本Windows會提供的服務。 ‧關閉MBT (1).開啟「網路與撥號連線」內容,開啟「網路連線」。 (2).選擇並進入Internet protocol(TCP/IP),然後選擇「進階」。 (3).選擇WINS標籤頁,點選「停用NetBIOS over TCP/IP」。 (4).確定後離開。 ‧關閉SMB (1).「開始」->「執行」輸入regedt32。 (2).找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters。 (3).將TransportBindName改名為xTransportBindName。 ‧在檢查主機是否有安裝其他的軟體會佔用於KFSensor模擬的通訊埠。 ‧設定執行KFSensor ‧選擇「Scenario」在選擇「Edit Scenario」,就可對KFSensor所模擬的服務進行設定。 使用者可以根據自己的需求來設定。 3.測試KFSensor。 我們只要利用普通的掃瞄工具就可以對裝有KFSensor的誘捕主機進行測驗,進一步觀 看KFSensor對外埠掃瞄所產生的記錄及回應,使用者可以針對多種服務進行測試,以觀察 此軟體是否合乎需求。我們先下載SuperScan這套工具在攻擊的電腦上,當安裝好後,再 對KFSensor主機進行掃瞄,掃瞄時需要注意KFSensor是否有產生預期的效果,偵測到外在 的行為,以及從SuperScan所產生的訊息得知KFSensor是否可產生相對應的軟體服務回應 以騙過攻擊者。 在進行攻擊完後,我們可以進一步的將攻擊者和KFSensor主機之間的訊息進行比對。 KFSensor的功能十分強大,而且設定也十分簡單,若使用者對於Unix-like的系統不熟,又 害怕編輯繁雜的設定檔,KFSensor對這些使用者來說,可以說是非常方便的軟體。 四、Honeypots的未來 由於Honeypots的特性,使它和一般的網路安全工具如防火牆等,有很大的不同。相信 在未來,Honeypots會扮演越來越重要的角色,能更進一步幫助使用者。在研究或者實務上 ,幫助使用者更快瞭解未知威脅及攻擊的詳細步驟,若發現攻擊,則盡快的提供警報,進 一步找出攻擊者,由於免費的Honeypots安裝和設定上都比較困難,商業性的Honeypots架 設成本又高,所以一直都難以推廣,所以Honeypots的設計應該朝向越來越容易使用且容易 安裝和設定的目標邁進。在大家慢慢瞭解Honeypots之後,希望未來Honeypots的研究除了 可以幫助我們瞭解攻擊者的行為之外,更可以藉此進一步的改善我們網路的使用環境,做 為網路安全的先鋒,保障合法使用網路者的權益。 五、參考資料: 1.Spitzner "Honeypots Tracking Hackers" 2.資通安全專輯之十四 - 網路攻防實驗教材 3.BOF http://www.nfr.com/resource/backOfficer.php 4.KFSensor http://www.keyfocus.net/kfsensor/ 5.Honeyd http://www.Honeyd.org/ 6.N. Krawetz, "Anti-honeypot technology," Security & Privacy Magazine, IEEE, vol. 2, pp. 76-79, 2004. x0
|