数字图书馆网络安全的守护神——蜜罐技术,本文主要内容关键词为:蜜罐论文,守护神论文,网络安全论文,数字图书馆论文,技术论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着数字图书馆建设的深入,图书馆网络已经成了因特网上一个不可或缺的重要结点,通过这个重要的结点与局域网、互联网融成一体,走向世界。网络已成为数字图书馆主要的服务手段和生存方式。数字图书馆中存储着海量信息,每时每刻都在传输、交流、更新,而随之而来的黑客频繁入侵,网络安全问题也成了数字图书馆的目前的重要任务。
1、数字图书馆存在的网络安全隐患[1]
目前数字图书馆存在网络安全隐患主要有操作系统存在安全漏洞;防火墙自身的安全设置问题;内部网络用户的恶意行为;采用TCP/IP 协议本身的安全隐患;网络系统中缺乏有效的监视手段。
2、数字图书馆目前的网络保护技术及缺陷
2.1 防火墙技术{2}及缺陷
防火墙通常设置在局域网与Internet之间,并通过一系列的安全手段来保护局域网的资源。它有两个任务:一是在保护内部资源的前提下,允许本地用户使用外部网络的资源;二是将外部网络中未授权的用户屏蔽在内间之外或授权外部指定用户使用本地指定的资源。
防火墙在使用上就好像一个分离器、一个限制器、一个过滤器。作为网络安全的第一层防线可以实施有效的访问控制,阻止了黑客的进入。但黑客仍可以利用系统后门或者系统缺陷绕过防火墙对网络实施攻击。据统计,防火墙的攻破率已经超过47%。此外,防火墙技术虽然对网络安全也起到了一定的防护作用,但这种作用只是被动的,受害方并不知道是谁、用什么方法、如何达到攻击目的,如何采取防范措施来保护网络安全。
2.2 入侵检测技术{3}及缺陷
入侵检测技术是通过对运行系统的状态和活动的监测,分析非授权的网络访问和恶意的网络行为,迅速发现入侵行为和不良企图,为入侵防范提供有效的手段,为网络信息安全增添了新的防范措施,被称为是防火墙之后的第二层防线。它的两个作用:一是提供内部攻击、外部攻击的日志,扩展了系统管理员的安全管理能力;二是监测网络中是否有违反安全策略的行为,在不影响网络性能的同时实现实时保护。
入侵监测技术虽然对网络和系统的活动情况进行监视,及时发现并报告异常现象。但是,入侵监测系统在使用中存在着难以检测新类型黑客的攻击方法,可能漏报和误报的问题。
蜜罐技术可将上述两种网络保护技术存在的缺陷得以弥补——通过观察和记录黑客在蜜罐上的活动,人们可以了解黑客的动向、黑客使用的攻击方法等有用信息,实现知己知彼,有效防范。
3、 蜜罐技术
3.1 蜜罐的定义
关于蜜罐,目前还没有一个完整的定义。读者可以参照Cliff Stoll所著的“Cuckoops Egg”,和 Bill Cheswick所著的“ An Evening with Berferd”。在此我们把蜜罐理解为是在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机的人(如电脑黑客)而设计的,它通过模拟一个或多个易受攻击的主机,给入侵者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务,因此所有对蜜罐的尝试都被视为可疑的。蜜罐的另一个用途是拖延入侵者对真正目标的攻击,在蜜罐上拖延时间。简单的说:蜜罐是诱捕攻击者的一个陷阱,是数字图书馆网络系统安全的守护神。
3.2 蜜罐的分类{4}
根据蜜罐的设计目的不同可以将蜜罐分为产品型蜜罐和研究型蜜罐两种,根据蜜罐的工作方式不同可以将蜜罐分为牺牲型蜜罐和外观型蜜罐两种。
3.2.1 产品型蜜罐
产品型蜜罐具有时间检测和欺骗功能,所做的工作就是检测并对付恶意攻击者,目的是减轻受保护组织将收到的攻击威胁。它通常放置在一个部门的内部网络环境中,由于它对攻击者具有相当的吸引力,可以诱惑或欺骗攻击者将时间和资源都用在攻击这个蜜罐上,使它们远离实际的工作网络。从某种意义上来说产品型蜜罐减轻了实际工作网络的安全风险。一般情况下,商业组织利用产品型蜜罐对自己的网络系统进行保护。
3.2.2 研究型蜜罐
研究型蜜罐是为了研究和获取攻击者的有关信息而设计的,这类蜜罐并不能增强特定组织的安全性,正好相反,蜜罐此时所要做的工作是研究组织可能会面对的各类网络威胁,并寻找能够对付这些威胁的最好办法。一般情况下,商业组织不会使用研究型蜜罐,只有那些需要进行研究的组织,例如大学、政府、军队或安全研究机构才需要使用研究型蜜罐。
4、蜜罐中的主要技术
蜜罐中的主要技术有网络欺骗、端口重定向、报警和数据控制技术、数据控制和数据捕获等。
4.1 网络欺骗技术
为了使蜜罐对入侵者更有吸引力,就要采用各种欺骗手段。例如,在欺骗主机上模拟一些操作系统或各种漏洞、在一台计算机上模拟整个网络、在系统中产生模仿网络流量等。通过这些方法,使蜜罐更像一个真实的工作系统,诱使入侵者上当。
4.2 端口重定向技术
利用端口重定向技术,可以在工作系统中模拟一个非工作服务。如工作系统进行Web服务(端口80),可以将Telnet(端口23)和SMTP(端口25)重定向到一个蜜罐,由于这两个服务在工作系统中并没有打开,所有对这两个端口的访问(可认为是入侵行为)实际上都在蜜罐系统中,而不是整个工作系统。
4.3 报警技术和数据控制技术
蜜罐必须具备报警功能,当系统被攻击时能够通知管理员,以便进行实时监视和跟踪。蜜罐是专门用于被攻占的系统,要控制系统的数据流量而不被入侵者怀疑。入侵者攻占一个系统后,最需要的是网络连接,以便从网上下载工具包,这正是要分析的内容,故必须给入侵者的这些行为做好数据铺垫。
4.4 数据捕获技术
要在不被入侵者发现的情况下,捕获尽可能多的信息,包括输入/输出信息、击键和屏幕信息等,以便从中分析他们所使用的工具、策略和动机。这可能要对系统做一些修改,但尽量要少,以免被入侵者发觉。捕获的数据不能放在蜜罐主机上,否则容易被入侵者发现,让他知道这是一个诱骗系统时,他就会销毁证据,因此要把数据记录在远程安全的主机上。
5、蜜罐技术在图书馆网络体系中的部署应用
5.1 部署蜜罐的关键工作
部署蜜罐首先要在外部因特网上由一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux 即可。蜜罐可以放置在网络的任何位置,防火墙内和防火墙外均可。产品型蜜罐一般是单个系统,通常与要保护的工作系统放在一起,以吸引攻击者。如若要保护网络内部主机的安全,可将蜜罐部署在网络内部(防火墙内);若要保护WEB、FTP、DNS、HTTP等服务器,则将它部署在防火墙外面。是否成功地部署蜜罐依赖许多因素,包括如何设置蜜罐主机、部署在何处、蜜罐本身的可靠程度以及合适的蜜罐策略。如何命名蜜罐主机也很重要,攻击者往往对WEB、图书馆数字资源服务器、主机等比较感兴趣,可以给蜜罐取一个类似的名字以吸引他们的注意。制定一个合适的蜜罐策略也非常重要,因为蜜罐不仅可以吸引外部攻击,还可以吸引内部攻击,如何处理内部攻击就是需要预先制定好策略。没有合适的策略,面对大量的内部攻击往往会不知所措,最后只得撤销蜜罐以息事宁人。
如下图所示得出,一个图书馆网络使用蜜罐技术的系统结构时,当入侵者通过Internet绕过图书馆网络防火墙入侵到图书馆网络内部时,会首先对我们部署的蜜罐系统进行攻击,这样就有效的保护了其它服务器的安全,拖延了对其它服务器进行攻击的时间,蜜罐管理员可以从攻击日志上分析判断入侵者所使用的攻击方式以采取防范策略。要搭建蜜罐平台,先根据服务器操作系统选择合适的蜜罐产品。在下文中我们将以Tiny Honeypot为例说明在图书馆网络上应用蜜罐技术。Tiny Honeypot由 Gekos Bakos编写,其最出色的一点就是系统容易受到攻击,并具有很好的收集入侵者入侵的信息和信息保护机制。Tiny Honeypot的主要设计原理是这样的:Tiny Honeypot是基于iptables 的重定向和一个xinetd监听程序,它监听当前没有使用的每一个TCP端口,记录所有的活动信息,并且提供一些回送信息给入侵者。应答部分全部采用Perl程序编写,它提供了足够的交互信息,足以愚弄大多数的自动攻击工具和小部分攻击者。通过缺省的适当限制,该程序可以安装在产品主机上,而几乎不会影响主机的性能。
5.2 蜜罐部署应用
首先下载Tiny Honeypot软件包然后进行安装。登录“http://alpinista.dynans.org/filea/thp/”下载程序包,然后执行下列命令:(具体命令如下图所示)
Tiny Honeypot配置过程如下:
在ROOT用户上进行安装,“chmod 700/var/log/hpot”修改访问日志的权限,使只有ROOT才能对其进行访问。
(1)edit xinetd files to change to:“disable=no”
(2)./thp/iptables.rules编译iptable.rules访问规则,注意修改其ip_forward环境变量为“”.0
(3)对Honeypot进行网络配置
对Honeypot进行网络及环境变量配置,如IP地址,允许正常使用的端口,Honeypot 重定向的端口以及虚拟的网络服务,如正常使用80端口进行WWW服务,21,23端口进行虚拟,Honeypot可以虚拟出许多的服务,如FTP 服务、WWW 服务、远程SHELL、 SMTP服务等。
6、蜜罐技术的发展趋势
6.1 蜜网{5}(Honeynet)
蜜罐的延伸技术包括蜜网,蜜网是指另外采用了技术的蜜罐,是在一台或多台蜜罐主机组成基础上,结合防火墙、路由器、入侵检测技术组成的网络系统。蜜网可以合理的记录下攻击者的行为,同时尽量减少或排除在因特网上对其他系统造成的风险。建立蜜网的目的是使我们有效的监视黑客的行动,从而能采取有效的防范措施保护网络。一个成功的蜜网要从阻止、发现和反应等方面入手。蜜网计划(Honeyent Project)由一组研究型的蜜罐组成,通过研究入侵者的行为获取更多有用的信息,以使安全专家能根据不同的入侵方式研究出相应的应对措施。Honeynet Project自1999年启动以来,已经收到了大量的信息,有兴趣者可登录 http//www.honeynet.org获得更多的信息。
由于蜜网是一个网络系统,不是一个单一的主机,因此和单机蜜罐相比,蜜网的实现和管理就更加复杂,但是这种多样化的系统却可以更多的揭示出入侵者的攻击特性,很大程度上提高了蜜罐系统的检测、分析、响应和恢复能力。蜜网系统隐藏在防火墙的后面,所有进出的数据都能受到关注,并多有用的数据进行捕获和控制,用来研究和分析入侵者使用的工具、方法和动机。在蜜网系统中,可以使用各种不同的操作系统及设备,如Solaris,Linux,Windows NT,Cisco Switch等等。这样建立的网络环境看上去比较更加真实可信,同时还有不同的系统平台上面运行着不同的服务。基于这种多样化的蜜网系统,可以更多地了解出攻击者的特性。
6.2 虚拟蜜网{6}(Virtual honeynet)
蜜罐领域最让人兴奋的发展成果就是出现了虚拟蜜网。虚拟蜜网系统使人们可以在单一主机系统上运行几台虚拟计算机(通常是4—10台)。虚拟蜜网大大降低了成本,机器占用空间以及管理蜜罐的难度。此外,虚拟系统通常支持“悬挂”和“恢复”功能,这样就可以冻结安全受危的计算机,分析攻击方法,然后关闭TCP/IP连接及系统上的其他服务。
7
结束语
蜜罐技术将被动防护转变为主动防护,受到图书馆界的信息安全技术人员所青睐,它们不仅可以捕获入侵者,还可以发现大量的新型攻击工具,安全技术人员及时降低或阻止这些新型工具的攻击效力,使外部入侵和内部入侵得以有效的控制。但是蜜罐技术不能代替原有的图书馆网络防护体系,只是一种增强网络现有安全的先进技术,通过与防火墙等技术的结合,从而构成一个更加安全的网络防护体系。
标签:数字图书馆论文; 蜜罐技术论文; 网络安全论文; 网络攻击论文; 网络安全防护论文; 信息安全论文; 网络入侵论文; 防火墙论文; 入侵者论文;