廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2809 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 誘捕系統
誘捕系統
http://www.cert.org.tw/docume...w.php?key=98
--------------------------------------------------------------------------------

前言
  電腦與網路的使用帶給現代人許多便利,電腦代替人處理許多繁雜的工作,也因此人
們越來越依賴電腦,許多公開或私人的重要資料,都存放在電腦內,公司可以藉此有效的
進行客戶管理,然而對於一些有心人仕,他們會設法去取得這些有價值的資料甚至加以破
壞或修改資料。當人們利用網路進行各種活動的同時,遭受攻擊的危機便如滾雪球般的擴
大,根據賽門鐵克第八期網路安全威脅研究報告指出,在2005年1月1日至6月30日這段期
間,利用惡意程式碼盜取金錢的新興攻擊方式日趨頻繁,尤其是信用卡資料或銀行資料的
外洩,而且隨著線上購物及網路銀行的日漸普及,這些問題將更加嚴重。2005上半年期間
,在賽門鐵克所收到的樣本數中,前50大惡意程式碼中有74%是屬於會竊取機密資料的惡
意程式碼威脅。由於越來越多的攻擊工具出現,不需擁有很強的技術背景,一般人就可以
使用這些工具,使得網路管理者風聲鶴唳,草木皆兵。

  處於詭譎難測的網路中,我們需要許多工具來幫助我們建立起安全的防線,接下來我
們來介紹誘捕系統。根據 "Honeypots:Tracking Hackers" 的定義:所謂的誘捕系統
(Honeypots)是一種資訊系統資源(resource),其價值在於未經授權或非法使用此資
源。

  也就是說,我們架設Honeypots的主要目標,就是讓它被偵測、被攻擊以及被惡意程
式(exploit code)所危害,不管Honeypots模擬何種服務或系統,其目的就是要被攻擊
,假如沒有被攻擊,就沒有什麼價值了。Honeypots和一般的安全工具不同,它的重點不
是抵擋攻擊者的攻擊或解決系統弱點,Honeypots可以當作入侵偵測系統,來偵測任何攻
擊,並蒐集和分析攻擊者使用的手法。Honeypots在運作時,其基本假設是,Honeypots
模擬的是不應該存在的系統或服務,若有人欲接觸此不存在的系統或服務,表示此人可
能存在不良意圖,這與「願者上鉤」有相同的意味。

  Honeypots的擺放地點,會因使用者的目的不同而異,如根據下圖,Honeypots放在內
部網路或者DMZ區都有不同的目的,以擺放在DMZ而言,因為攻擊者可能會對DMZ進行掃瞄
,如網頁伺服器或信件伺服器等,他可能會發現這些伺服器存在弱點或未修補的漏洞,同
時也會包含對您所架設的Honeypots進行掃瞄,這時Honeypots就可以將攻擊者的行為進行
記錄和分析,不只是進行記錄,Honeypots可以更進一步的回應攻擊者偽造的訊息,讓攻
擊者花費更多的時間在假的服務或弱點上,Honeypots便可以更詳細的紀錄整個攻擊手法
,讓管理者瞭解各種不同的攻擊方法,以便因應現況變更網路的安全政策,因為Honeypots
富有彈性,不像一般的系統安全工具,如防火牆等,消極的進行防禦,所以Honeypots對
管理者而言,是用來發現攻擊者以及分析攻擊手法的重要工具。

一、Honeypots的價值以及種類:
  在我們知道Honeypots的定義及其工作方式後,接下來我們仔細說明其優勢:
‧資料價值
 系統管理者每天收到各式各樣的網路資料,系統的使用者登入資料、防火牆的log檔、入
侵偵測系統的log檔等等,這些資料量加起來非常的多,所以要管理者每天去觀察這些數以
萬計的資料是很困難的工作,但是以Honeypots來說,因為它有基本假設,所以收到的資料
應該是少量而且關鍵的,這些資料應該都與掃瞄、攻擊等有關。
‧資源(resource)
 許多安全工具常會有系統資源有限或者用光系統資源的問題,例如防火牆可能會因為連
線資料太多,用光系統資源,導致它不再監視連線。網路式的入侵偵測系統也會因為其流
量太大,導致系統有太多連線必須要監視,而當其緩衝區滿溢時,入侵偵測系統就會丟棄
封包。當有限的系統資源使用殆盡時,可能就無法記錄攻擊的發生。但是Honeypots並沒有
系統資源的問題,因為Honeypots主要是蒐集直接對它進行攻擊的資料,所以不會有資料過
多的情況。
‧簡單
 Honeypots不需要複雜的演算法,也不需要去維護紀錄大量的攻擊特性資料庫,您只要將
它架設起來,它就會靜靜在旁邊為您工作。
‧投資報酬
 我們一般使用的網路安全工具很難看出其實際產生的回饋,比如說今天我們架設了一個
防火牆,防火牆可以幫我們擋住很多攻擊,雖然大家都知道這件事,但是卻很難用實際的
數字去估計它的價值,因為換個角度想,萬一沒有攻擊者,那我們還需要有防火牆嗎?但
是Honeypots就可以很容易告訴我們它的好處,因為它可以告訴使用者,有多少居心不軌
的人試圖連進這"不應該"存在的系統或服務,使用者不僅可以蒐集這些訊息,就算沒有任
何的攻擊,Honeypots所提供的資訊讓使用者可以利用這些訊息對其他的網路安全工具做
調整,使網路更加安全。

  雖然Honeypots可以帶給我們很多好處,但它也有一些限制:
‧受限制的視野:
 Honeypots運作的先決條件,就是攻擊者必須直接對Honeypots進行攻擊才有用,若使用
者是攻擊其他主機,而使網路發生問題,Honeypots便不能提供有利的資訊。
‧辨別系統的能力(fingerprinting)
 許多商業Honeypots都是以實做應用層的服務為主,這樣子就不能有效模擬初各種不同作
業系統的ip堆疊,這樣有可能讓一些掃瞄軟體區分出真實系統和Honeypots的區別。
‧風險
 根據Honeypots與攻擊者互動程度的不同,會有各自不同的風險,互動程度越高的話,風
險越高,若Honeypots也被攻擊者攻破的話,就會產生錯誤的訊息來誤導管理者,這樣會使
得管理者執行錯誤的決策,非但不能有效阻擋破壞者,更有可以限制正常網路的使用。

  在我們討論出Honeypots可能的優缺點之後,我們又更深入的去看Honeypots的分類,
才能更清楚我們需要哪一種Honeypots,如何在優點與缺點中做取捨。

  Honeypots可以根據兩種特徵來分類,第一種是以使用目的來分,可分為產品性質的
Honeypots,一種是研究性質的Honeypots,第二種是以互動程度高低來區分,可分為高互
動程度和低互動程度兩種。

  以使用目的作分類:
‧產品(production)性質的Honeypots
 重點在於如何增加組織的安全性,最主要的工作就是將攻擊者揪出,所以重點在於攻擊
偵測,它的功能比較簡單,蒐集到的資訊也比較少,能夠把攻擊者找出來,便是其最重要
的任務。
‧研究(research)性質的Honeypots
 重點在於獲得攻擊者的資訊,得知攻擊者的攻擊步驟,使用哪工具,藉由這些資訊,我
們可以改善本身網路的安全程度。

  以互動程度作分類:
‧高互動程度
 此類的Honeypots可以取得大量的攻擊者資訊,但是它們必須要花費大量的時間進行維
護,因為互動程度高,是屬於風險較高的類型。因為要貼近真實的環境,所以在架設時,
會依真實的情況,比如說架設防火牆等各式各樣的機器,所以維護上比較困難。
‧低互動程度
 攻擊者在跟此類的Honeypots互動所產生的訊息較少,模擬的服務或系統不會給攻擊者充
分的回應,所以風險也較小。也因為此類的Honeypots功能較少,所以較為安全。而其價值
在於偵測攻擊活動,但是所記載的資訊也較少,所以比較不會有錯誤的訊息。

  在介紹完整個Honeypots的定義,優缺點以及分類之後,相信讀者已經對Honeypots有
初步的認識,接下來我們會介紹屬於低互動程度的KFSensor使大家更加瞭解。

三、Honeypots軟體介紹 - KFSensor:
1.KFSensor如何運作
  KFSensor主要是針對Windows作業系統所提供的各項服務以及弱點進行模擬,KFSensor
可以模擬Windows的網路,如NetBIOS、SMB、CIFS,較特別的是KFSensor可以偵測到針對
Windows檔案分享的攻擊。此外KFSensor可以模擬如FTP、 SMB、 POP3、 HTTP、 Telnet、
SMTP 與 SOCKS等協定,來蒐集攻擊者的資訊。KFSensor十分容易安裝與設定,不需要特別
的硬體,即使是配備低的電腦,仍可以進行安裝,此外在設定上皆採用視窗介面,不需編
輯複雜的設定檔,對使用者來說十分方便。它安裝在電腦上並模擬真實的服務,等待該通
訊埠連接,如網頁伺服器或SMTP伺服器,當安裝KFSensor在目標主機或honeypot主機上時
,就可以對駭客活動進行記錄。而產生詳細的log檔給管理者,KFSensor對於攻擊的判斷
是採用簽署(signature)的方式,來判斷各種攻擊,同時也可以輸入Snort格式的規則,
以增加其防禦強度。
  如果說KFSensor只能蒐集攻擊者的情報,而不能進一步的通知管理者攻擊的訊息,那
其價值便非常有限。KFSensor提供系統警報、聲音警報、電子郵件發送警報、SysLog上的
警報以及EvenLog警報等。
2.KFSensor的安裝及設定
  安裝KFSensor:可至http://www.keyfocus.net...download/取得試用版的下
載,並進行安裝。安裝完後會重開機一次,接下來有三個選項讓您複選,分別是針對
Windows的服務,Linux的服務,和木馬及網蟲。

  接下來設定誘捕主機的Domain Name,但是特別要注意的是,千萬不要拿正常主機的
Domain Name重複用在誘捕主機上。KFSensor可以將資訊或警報寄到您指定的電子郵件信
箱,所以下個步驟是設定您所要接收訊息的信箱位址。KFSensor可以偵測許多通訊以及模
擬這些服務,接下來是要選擇您要KFSensor偵測的網路服務。若有選擇NetBios/NBT/SMB
and RPC的話,就必須要關閉下面兩個原本Windows會提供的服務。

‧關閉MBT
(1).開啟「網路與撥號連線」內容,開啟「網路連線」。
(2).選擇並進入Internet protocol(TCP/IP),然後選擇「進階」。
(3).選擇WINS標籤頁,點選「停用NetBIOS over TCP/IP」。
(4).確定後離開。

‧關閉SMB
(1).「開始」->「執行」輸入regedt32。
(2).找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters。
(3).將TransportBindName改名為xTransportBindName。

‧在檢查主機是否有安裝其他的軟體會佔用於KFSensor模擬的通訊埠。
‧設定執行KFSensor
‧選擇「Scenario」在選擇「Edit Scenario」,就可對KFSensor所模擬的服務進行設定。
使用者可以根據自己的需求來設定。

3.測試KFSensor。
  我們只要利用普通的掃瞄工具就可以對裝有KFSensor的誘捕主機進行測驗,進一步觀
看KFSensor對外埠掃瞄所產生的記錄及回應,使用者可以針對多種服務進行測試,以觀察
此軟體是否合乎需求。我們先下載SuperScan這套工具在攻擊的電腦上,當安裝好後,再
對KFSensor主機進行掃瞄,掃瞄時需要注意KFSensor是否有產生預期的效果,偵測到外在
的行為,以及從SuperScan所產生的訊息得知KFSensor是否可產生相對應的軟體服務回應
以騙過攻擊者。

  在進行攻擊完後,我們可以進一步的將攻擊者和KFSensor主機之間的訊息進行比對。
KFSensor的功能十分強大,而且設定也十分簡單,若使用者對於Unix-like的系統不熟,又
害怕編輯繁雜的設定檔,KFSensor對這些使用者來說,可以說是非常方便的軟體。

四、Honeypots的未來
  由於Honeypots的特性,使它和一般的網路安全工具如防火牆等,有很大的不同。相信
在未來,Honeypots會扮演越來越重要的角色,能更進一步幫助使用者。在研究或者實務上
,幫助使用者更快瞭解未知威脅及攻擊的詳細步驟,若發現攻擊,則盡快的提供警報,進
一步找出攻擊者,由於免費的Honeypots安裝和設定上都比較困難,商業性的Honeypots架
設成本又高,所以一直都難以推廣,所以Honeypots的設計應該朝向越來越容易使用且容易
安裝和設定的目標邁進。在大家慢慢瞭解Honeypots之後,希望未來Honeypots的研究除了
可以幫助我們瞭解攻擊者的行為之外,更可以藉此進一步的改善我們網路的使用環境,做
為網路安全的先鋒,保障合法使用網路者的權益。

五、參考資料:
1.Spitzner "Honeypots Tracking Hackers"
2.資通安全專輯之十四 - 網路攻防實驗教材
3.BOF http://www.nfr.com/resou...ficer.php
4.KFSensor http://www.keyfocus...sensor/
5.Honeyd http://www.Ho...org/
6.N. Krawetz, "Anti-honeypot technology," Security & Privacy Magazine,
IEEE, vol. 2, pp. 76-79, 2004.



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣 | Posted:2006-11-06 21:57 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.053256 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言