虚拟Honeynets是允许你在同一台电脑上用多种操作系统搭建一个完整的Honeynet的一种解决方案。最初在文章Know Your Enemy: Virtual Honeynets中被讨论,这种方案有着配置更容易,管理更简单的优点。Honeynet Project同样也发现VMware对Honeynet技术的发展有着重大的意思。我们通过这篇文章一步一步的教你怎样用商业软件VMware搭建和配置这种解决方案。这种情况下,我们将用5种不同的honeypots搭建一个GenII(第二代Honeynets)。前提是你已经阅读并且了解在KYE: Virtual Honeynets和KYE: Honeynets中讨论过的一些概念。同时,如果这是你第一次从事Honeynet技术工作,我们强烈建议你在实验环境中工作。最后,因为面对的是虚拟软件,你必须意识到攻击者识别出,并且秘密逃出虚拟环境的风险。以上是对你的建议。
攻击计划
这篇文章的格式有点类似于KYE: User-Mode Linux,它被分成5个部分。第一部分我们将描述什么是VMware,它的工作方式,以及怎样安装它。第二部分,我们将描述怎样配置VMware和安装你的honeypots。第三部分我们将描述怎样在VMware Honeynet中使用IPTables来实现数据控制。第四部分我们将描述怎样使用Snort来实现数据捕获。最后,在第五部分中我们将描述如何测试你的各种设置。
Part I: VMware
VMware是一种可以让你在同一时刻运行多种操作系统的虚拟软件。和用户模式Linux不同,VMware允许你运行不同的操作系统,只要它们是能够在Intel X86系列上运行的。VMware是由VMware Inc开发和销售的,实际上你可以选择三种不同的软件产品:Workstation, GSX, 或者ESX。我们将使用三者当中的GSX。GSX是设计来在同一时刻运行两个以上的操作系统,支持远程管理的,比Workstation功能更强大的版本。但是,我们这里所讨论的大部分信息一样能够应用在Workstation上。鉴于这篇文章的目的,我们将在掌上电脑上搭建我们的虚拟Honeynet,平台为IBM Thinkpad T23, PIII 1G处理器和768MB的内存。操作系统为Red Hat 7.3。
VMware是通过在电脑上安装虚拟软件来工作的。此虚拟软件允许你在同一时刻启动和运行多个操作系统。你安装的第一个操作系统被称为HostOS。这是VMware将安装于其中的操作系统。一旦你安装了HostOS和VMware,你就可以安装其他的操作系统,它们将运行在虚拟环境中。所有这些其他的操作系统被称为GuestOS’s,因为它们就像是在主操作系统上的‘客人’。想要对其工作方式获得更好的理解,请参考Figure 1。在我们的Linux HostOS上安装VMware非常简单,你仅仅需要安装一个RPM包即可。命令类似于:
host #rpm -vi VMware-gsx-2.0.1-2129.i386.rpm
Preparing packages for installation...
VMware-gsx-2.0.1-2129
我们也可以安装另外的软件包,比如说远程管理软件包。但是,我们的掌上电脑不需要这个软件包,因为所有的管理都在本地完成。要了解关于这些额外包的更多信息,请参考VMware文档。
Part II: 配置VMware和安装Honeypots
安装完成后的下一步就是配置VMware软件。配置是通过执行命令’vmware-config.pl’来完成的。在配置过程中,VMware很可能会重新编译它自己的一些内核模块。这就是说你要为内核准备编译器和源代码。我们的掌上电脑上运行的内核版本是2.4.18-19.7.x。然后我们确保有源代码:
host #uname -r
2.4.18-19.7.x
host #
host #rpm -qa | grep source
kernel-source-2.4.18-19.7.x
marge $ls -l /usr/src
total 8
lrwxrwxrwx 1 root root 19 Dec 26 13:53 linux-2.4 - linux-2.4.18-19.7.x
drwxr-xr-x 17 root root 4096 Dec 26 13:53 linux-2.4.18-19.7.x
drwxr-xr-x 7 root root 4096 Jul 12 11:52 redhat
如果你已经安装了源代码,你就可以开始安装了。在安装过程中,我们要注意的唯一选择就是网络。请记住,我们的目标是使所有的GuestOS’s通过我们的网关HostOS进行路由。在安装过程中选择网络。在安装过程要结束时,你会被询问是否采用HostOnly网络模式。选择此项,给接口分派一个IP地址。这是网关的IP地址,我们将设为10.10.10.1。下面的连结是配置过程中执行的一系列命令。
vmware-config.pl
当你完成配置后,VMware就可以运行了。但是,我们有一个问题,采用默认配置时,VMware允许三种接口:vmnet0,vmnet1,vmnet8。在这三种接口中,我们只需要一种接口,vmnet1。vmnet0用于网桥,所以GuestOS可以饶过HostOS直接进行网络会话。Vmnet8用于NAT网络。只有vmnet1允许我们控制GuestOS’s经过HostOS。这样,我们还得重新运行vmware-config.pl,然后使用编辑工具,移除两种不需要的接口vmnet0和vmnet8。
vmware-config.pl(第二次运行)
当你完成VMware的配置后,下一步就是安装和配置每个honeypots。就我们的Honeynet而言,我们要安装运行5种不同的honeypots。运行这么多操作系统所需的要求并不是你想象的那么高。想一想,除了攻击者之外没有人会使用它们,所以活动的系统很少。同时,以Unix为基础的系统不需要GUI,你可以通过命令行接口来管理系统。这样就不需要运行X-Windows,内存的需要也就达到最少了。每个操作系统也只需要不超过2GB的磁盘空间。
Red Hat Linux 8.0 (64 MB RAM, 不运行X-Windows)
Solaris8 X86 (64 MB RAM, 不运行 X-Windows)
OpenBSD 3.1 (64 MB RAM, 不运行X-Windows)
Windows2000 (128 MB RAM)
WindowsXP (128 MB RAM)
安装每个honeypots是很简单的。首先,用命令”ps aef | grep vmnet”确保vmware虚拟软件在运行,用命令”ifconfig ?a”确保使用的是vmnet1接口。如果vmware已经运行,创建一个新的VMware窗口来安装honeypot。命令如下:
host #vmware -G &
创建窗口后,你可以选择启动一个已经存在的GuestOS或者开始安装一个新的GuestOS。如果要安装新的GuestOS,请选择”运行配置向导”。在向导中选择你将要安装的GuestOS的类型,将要安装的文件系统的目录,为操作系统创建一个新的虚拟磁盘,启用CDROM(如果挂装了软驱,请卸载)和HostOnly网络。完成GuestOS的配置后,插入Guest操作系统的CDROM安装盘,然后启动系统。此后,GuestOS的启动和安装和正常安装其他操作系统一样。继续重复这些步骤安装所有这5个GuestOS honeypots。安装完成后,你可以选择在honeypots上安装VMware tools。它将解决GUI接口。但对于Unix系统来说,你不需要安装VMware tools,因为你可以通过命令行来进行管理。对于基于视窗的honeypots,需要在honeypots中安装VMware tools以方便管理,但是,它将使攻击者更容易的识别出系统是Vmware虚拟系统。要获取更多关于VMware配置和GuestOS安装的信息,请参考VMware文档。
在进行下一步之前,你需要备份你安装的honeypots。VMware把每个honeypots存放在一个独立的文件中,这些独立的文件都放在VMware自己的目录下。你仅仅通过拷贝这些独立的文件就可以备份每个honeypot。对传统的Honeynets来说,在一个honeypot存在安全威胁后,你将花费很多精力来分析攻击记录,你必须在把honeypot放回honeynet之前恢复它们。这是很浪费时间的。但是,使用VMware后,恢复honeypot就只是拷贝你的备份文件这么简单。你可以在很短的时间内使你的honeypots恢复运行。比如,默认情况下,VMware将每个honeypot映像存放在目录/root/vmware下。你可以通过拷贝这个目录来备份所有的honeypots。当你想要恢复一个honeypot的时候,你只需要拷贝包含所有honeypot映像文件的目录就可以了。
host #ls -l /root/vmware
total 28
drwxr-xr-x 2 root root 4096 Oct 10 01:10 linux-6.2
drwxr-xr-x 2 root root 4096 Jan 14 19:00 linux-7.2
drwxr-xr-x 2 root root 4096 Jan 14 22:14 linux-7.3
drwxr-xr-x 2 root root 4096 Jan 25 15:15 openbsd
drwxr-xr-x 2 root root 4096 Jan 25 15:15 solaris
drwxr-xr-x 2 root root 4096 Dec 16 08:47 win2000Serv
drwxr-xr-x 2 root root 4096 Jan 25 15:15 winXPPro
host #
host #cp -a /root/vmware /root/vmware-backup
Part III: 数据控制
完成VMware和honeypots配置后的下一步就是数据控制了。数据控制的目的就是要获得攻击者进出Honeynet的一切信息。特别的,我们允许所有进入Honeynet系统的数据,但是限制对外的连接。鉴于这篇文章的目的,我们将使用IPTables这种Linux自带的开放源代码的防火墙来解决此问题。IPTables是一种灵活性相当高的正式的防火墙,有连接限制,网络地址转换,日志记录的功能,和许多其他的特性。我们把IPTables配置成我们HostOS上的过滤器,计算流出网络的数据报。一旦对向外的连接到达了限制的数量,之后所有的连接尝试都会被阻止,保证被入侵的honeypot不会对其他系统造成损害。配置和实现这些性能可能会非常复杂。但是,Honeynet Project编写了一个称作rc.firewall的IPTables脚本,它可以帮助你完成所有的工作。你仅仅需要修改脚本变量使它适应你的Honeynet,然后运行脚本。
你首先要决定的一件事是,你想使网关运行在第三层的路由模式,还是第二层的网桥模式。第二层网桥模式(也叫做GenII, 或者2nd generation)是首选的方法。当网关扮演网桥的角色时,就没有数据报路由和数据报的TTL消耗,它成为一个不可见的过滤设备,使攻击者更难发觉。但是,要想使IPTables工作在网桥模式,你的内核必须打补丁来支持它。默认情况下,绝大多数内核都不支持IPTables的网桥模式。Red Hat内核2.4.18-3是少数几个默认情况下支持这
