Know Your Enemy:
Honeynets
什么是Honeynet,它的价值、运作方式、风险及相关问题
Honeynet Project
http://project.honeynet.org
Last Modified: 21 April, 2001
http://www.xfocus.org
在过去的几年中 Honeynet Project 专注于对网络入侵者这一群体使用的各种工具、攻击策略及目的进行研究,并且分享我们的经验,这里我们使用的主要工具就是Honeynet。本文阐述了Honeynet究竟是什么、它对安全组织的价值、它的工作方式、会带来的风险、技术难题等等。我们将使用技术手段尝试自己去了解入侵者群体。同时我们希望这里讨论的这些技术可以帮助大家更好地构建Honeynet,更好了了解我们的敌人,我们也希望各种组织能够了解Honeynet的基本状况。
什么是Honeynet
Honeynet可以说是一个学习工具!它是一个专门设计来让人“攻陷”的网络,一旦被入侵者所攻破,入侵者的一切信息、工具等都将被用来分析学习。其想法与honeypot相似,但两者之间还是有些不同点的:honeypot也是一个用来让人攻击的网络,通常是用来诱骗入侵者的,通常情况下,honeypot会模拟某些常见的漏洞、摸拟其它操作系统或者是在某个系统上做了设置使其成为一台“牢笼”主机。比如The Deception Toolkit(下载), CyberCop Sting, 以及 Mantrap. 是一些脚本的集合,它模拟出了一些常的系统漏洞;CyberCop Sting运行于NT平台,它模拟出多个不同系统的IP堆栈及inetd服务。Mantrap则是将Solaris系统进行了一些设置,建立起了一些“牢笼主机”。毫无疑义,这些都是相当不错的想法,但在现在的环境下,它们有些不适合了,需要更多的改进。
Honeynet与传统意义上的honeypot有两个最大的不同点在于:
一个Honeynet是一个网络系统,而并非某台单一主机,这一网络系统是隐藏在防火墙后面的,所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可以对我们研究分析入侵者们使用的工具、方法及动机。在这个Honeynet中,我们可以使用各种不同的操作系统及设备,如Solaris, Linux, Windows NT, Cisco Switch, 等等。这样建立的网络环境看上去会更加真实可信,同时我们还有不同的系统平台上面运行着不同的服务,比如Linux的DNS server,Windows NT的webserver或者一个Solaris的FTP server,我们可以学习不同的工具以及不同的策略——或许某些入侵者仅仅把目标定于几个特定的系统漏洞上,而我们这种多样化的系统,就可能更多了揭示出他们的一些特性。
在Honeynet中的所有系统都是标准的机器,上面运行的都是真实完整的操作系统及应用程序——就象你在互联网上找到的系统一样。我们没有刻意地模拟某种环境或者故意地使系统不安全。在Honeynet里面找到的存在风险的系统,与在互联网上一些公司组织的毫无二致。你可以简单地把你的操作系统放到Honeynet中,并不会对整个网络造成影响。
我们的Honeynet ProjectIt使用的是在互联网上最常见到的操作系统,比如默认安装的Linux, Solaris, Windows98以及Windows NT,正因为我们使用的是最常见、普通的系统,我们的研究成果才会对大多数的互联网组织有实用意义。
Honeynet 的价值、法律相关事务
传统意义上的信息安全,一般都是防御性质的,比如防火墙、入侵检测系统、加密等等,它们都是用来保护我们的信息资产的,他们的策略是,先考虑系统可能出现哪些问题,然后对问题一一进行分析解决。而Honeynet希望做到的是改变这一思路,使其更具交互性——它的主要功能是用来学习了解敌人(入侵者)的思路、工具、目的。通过获取这些技能,互联网上的组织将会更好地理解他们所遇到的威胁,并且理解如何防止这些威胁。通过honeynet,组织可以在与入侵者的“游击战争”中获得最大的主动权。
例如,Honeynet能够收集的信息的主要来源之一是入侵者团体之间的通信,诸如IRC(Internet在线聊天系统)。入侵者经常在彼此之间自由交谈,揭示了他们的动机,目的,和行动。我们通过使用Honeynets,已经捕获了这些谈话内容,监控了他们之间说过的每一句话,我们甚至已经捕获了与攻击我们的系统有牵连的入侵者的实时录像。这使我们能够清楚地洞察入侵者们是如何针对特定系统以及他们攻击系统的能力。你可以参见Know Your Enemy: Motives中的例子。在这份文件中,我们追踪了把一个特殊的国家作为攻击目标的一组入侵者。经过三个周的时间,我们不仅了解了他们是如何把系统作为目标和如何攻击系统的,而且更重要的是,了解了他们这样做的原因。根据这种详细的信息,我们现在能够更好的理解和防护这种常见的威胁。
Honeynets也为组织提供了关于他们自己的安全风险和脆弱性的一些经验。Honeynets的内容涵盖了组织在其特定环境下系统和应用软件。公司或者组织可以通过对Honeynet的学习及使用,提高增强自己的能力。例如,某家公司可能想提供一个新的网络服务器,以便其网上支付系统。其操作系统和应用程序如果能够先在一Honeynet的中得到检验以识别任何未知的风险和脆弱性,将会在很大程度上提高其可靠程度。我们自己在Honeynet的工作平台上检验IDS、防火墙等过程中就得到了相当多的经验。
最后,一个Honeynet能够帮助一个组织发展它的事件响应能力。在过去的两年中,我们已经极大地提高了我们检测、响应、恢复、和分析受侵害系统的能力。根据这些经验,我们已经发表了两篇文章,就是 Know Your Enemy: Forensic Analysis 和 The Forensic Challenge 其中提到的一些技巧是:如果你发现了一个受到入侵的系统,你或许可以把它当成一个挑战,使用各种技术来捕获或者分析入侵者的行为并且不被他察觉。同时,你捕获的数据也可以存储在一个攻击特征库中,今后你如果在其它事件中发现类似的特征代码,你就可以轻易地判断出其攻击方式了。
但是这些方法在法律上遇上了一些麻烦
诱捕的问题:
诱捕是一个法律术语,用于执法人员诱使一个罪犯从事一项非法行为,否则他们可能不会从事该非法行为。我们不是执法部门,我们不是在执法部门的控制下行动,而且我们甚至没有起诉的意图,所以,我们不认为安装一个Honeynet是诱捕行为。其他人将争论说我们正在提供一个“吸引人的目标”,意味着我们把不可靠的系统置于网上,以诱使人们攻击他们,从而把他们作为攻击别人的手段来使用。这也是错误的,因为我们并没有通过任何方式来宣传这些系统。如果有人发现了我们的一个系统,损害了它,并且使用它作他们不应当做的事情,那是因为他们在主动地和有意地从事这种非授权的行为。
保密的问题:
而关于这些活动有一些道德上的和伦理上的问题(我们在内部一直在努力解决这些问题),最近由美国司法局,刑事庭,计算机犯罪和知识产权部门出版的Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations这本书中,提供了几个案例参考,受理上诉的法官裁定,反对对于在计算机入侵和欺骗的犯罪案件中,对侵犯隐私权进行辩护。包括下面一些问题:
入侵这些系统的人是未经授权的,如果他们把任何文件置于系统上(当他们没有合法的帐号或使用特权时),我们认为他们已经不能保有在我们系统上的隐私权。
通过使用我们的系统进行通信,他们就已经在通信中放弃了他们的隐私权。
我们不提供公用的帐号,所以我们不是一个服务供应商,不受为服务供应商所设计的保密要求的限制。
不管怎样,我们不是执法部门,我们也不是在执法部门的控制下行动,或甚至起诉入侵我们系统的入侵者,所以,我们不受证据收集规定的限制,而执法部门和他们的执法人员却要受到其限制。
即使我们真的目击了一起严重的计算机犯罪,并且决定告发它,我们收集日志和记录网络流量,将其作为一个“商业运营”的常规过程,如果我们决定告发的时候,我们可以自由地将其交给执法部门。
在美国司法系统的最高层作出更加清楚的判断之前,我们认为我们遵守了当前的法律,并且保持在适当的界限之内。(那些美国之外的国家,在使用Honeynet之前,应当咨询你们自己的法律机构以寻求指导。)
工作方式
既然我们的目的是对入侵者群体进行研究,我们就必须能够跟踪他们的举动,要建立一个透明的环境,以使我们能够对Honeynet里发生的任何事都有清楚的了解。传统的方法是对网络流量进行监控,这里存在一个最大的问题就是过大的数据量使安全工程师疲于奔命。我们必须从大量的数据中判断哪些是正常的流量,哪些是恶意的活动。一些如入侵检测系统、基于主机的检测及日志分析的工具、技术会在很大程度上带来帮助。但是数据过载、信息被破坏、未知的活动、伪造的日志等等都会对我们的检查分析带来困难。
Honeynet对此采用了最简单的解决方式。我们的目的是研究系统被侵害的一些相关事件,而不是分析网络流量,我们认为,从外界对Honeynet的访问,除去正常访问外,其它可能是一些扫描、探测及攻击的行为,而从系统内部对外界发起的连接,一般情况下,表明了系统被侵害了,入侵者利用它在进行一些活动。这使我们的分析活动相对简单化。
要成功地建立一个Honeynet,我们需要面临两个问题:信息控制及信息捕获。信息控制代表了一种规则,你必须能够确定你的信息包能够发送到什么地方。其目的是,当你Honeynet里的Honeypot主机被入侵后,它不会被用来攻击在Honeynet以外的机器。信息捕获则是要抓到入侵者群体们的所有流量,从他们的击键到他们发送的信息包。只有这样,我样才能进一步分析他们使用的工具、策略及目的。
信息控制
如我们上面所说的,信息控制是对入侵者的行为进行规则上的定义,让他们能做及不能做某些事情。我们在与入侵者进行智力上的搏斗时,总是会有许多风险的,但必须尽小降低这些风险。我们需要确信,当系统被侵害时,我们的honeypot不会对在Honeynet外的系统产生危害(在honeynet以内的,都是我们战争游戏的一部份:)。这里最难实现的在于,我们必须不让入侵者引起怀疑。入侵者进来之后,他们最需要的,当然是网络连接,以便从网络上下载他们的工具包、打开IRC连接等等,我们必须给他们做这些事情的权利——这正是我们所想要分析的东西。我们以前设计的honeypot曾经犯了个错误,不允许任何往外发的包——入侵者对这往往是非常敏感的,当时有个入侵者进入了我们的系统,只呆了十五分钟,就从这里感觉出不妙,擦掉了所有的踪迹,溜之大吉了。所以呢,我们需要做的是,允许他们做的大部份事情,但是对攻击其它系统的“需求”,比如发起拒绝服务攻击、对外部进行扫描以及用漏洞利用程序攻击他人的行为,则一概不理。
我们设计这个Honeynet要捕获进出的连接,因此,我们在Honeynet的前端放置一个防火墙,所有的信息包将通过防火墙进来,防火墙能够对所有从我们的honeypot机器往外的每一个连接进行追踪,当该honeypot外发的数量达到我们预先设定的上限时,防火墙便会阻塞那些信息包。这样可以在最大程度保证我们的机器不被滥用的前提下,允许入侵者做尽可能多他们想做的事。一般情况下,我们发现,设定外发连接数设为5至10是比较合适的,不会引起入侵者的怀疑。这样做,就避免了我们的honeypot成为入侵者的扫描、探测及攻击他人的系统。当然,有些组织可能不需要这样设置——如果他们能够做到24小时对Honeynet进行值守的话——这样就可以甚至对外发的数据包都不做任何限制,直到检测到有拒绝服务攻击或者其它的滥用系统的行为发生时,值班人员可以简单地手工将攻击停止。当然我们也可以开发出自动化程度比较高的工具对无法提供24小时监控的人们提供帮助。在我们的设计中,防火墙与Honeynet之间还放置了一个路由器——之所以放置它,有下面两个原因:
首先,路由器的存在,使防火墙变得“不可见”了,当我们的honeypot被攻击后,入侵者可能会察看从这里往外的路由,这么放置更象一个真实的网络环境,没人人会注意到在路由器的外面还有一台防火墙。其次是,路由器也可以对访问控制进行一些限制,它可以作为对防火墙的一个很好补充,以确保honeypot不会被用来攻击陷阱网络之外的机器。
在 DiagramA 中我们把Honeynet的拓扑给出来了。这是我们在 Know Your Enemy 系列文档中使用的真实的网络。在这个网络拓扑中,你可以看到,防火墙把这个网络陷阱分隔成三个部份。一是陷阱部份,二是互联网,三是管理控制平台。在数据捕获的章节里我们还将提到管理控制平台。所有的进出的数据包都必须通过我们的防火墙及路由器,这里防火墙是我们主要控制进入及外出的连接的工具。路由器在这里做了一些补充的过滤。我们的防火墙允许任何的进入及外发连接,但是它对任一陷阱主机外发连接的数量做了限制,只允许5个,当到达这个上限时,任何超出部份的连接将被防火墙阻塞。我们使用的是CheckPoint FW-1防火墙以及一个用来检查有多少外发连接的shell 脚本,当达到这个上限时 (我们这里是五个并发的连接)这一脚本就配置防火墙将超出的连接断开。我们也配置了防火墙,在这些事发生的时候,会给我们发送相关的 的警示信息 以告知该陷阱主机被阻塞了。关于如何防火墙如何配置以及详细的脚本细节等,你可以从 Intrusion Detection for FireWall-1 这篇文章中得到获得。当然,你可以不限于用FireWall-1,当然也不必使用我们的脚本,我们仅仅是提供一种思路。你可以用同样的方法在 IPFilter(下载)以及Swatch(下载) 上实现同样的功能。你也可以在IPTables下面利用Dynamic IPTable Scripts.来实现同样的功能。
路由器在这里充当了第二层的访问控制工具。我们主要用它来防止ICMP攻击或者一些欺骗性的攻击。路由器仅仅允许源地址是Honeynet内的IP往外发包。在我们举的例子中,就是,仅有源地址是172.16.1.0/24的可以外出。这可以防止
