蜜罐技術：消除防火牆侷限和脆弱(轉)

蜜罐技術：消除防火牆侷限和脆弱(轉)[@more@]

　　防火牆是網路上使用最多的安全裝置，是網路安全的重要基石。防火牆廠商為了佔領市場，對防火牆的宣傳越來越多，市場出現了很多錯誤的東西。其中一個典型的錯誤，是把防火牆萬能化。但2002年8月的《電腦保安》中指出，防火牆的攻破率已經超過47%。正確認識和使用防火牆，確保網路的安全使用，研究防火牆的侷限性和脆弱性已經十分必要。

　　防火牆十大侷限性

　　一、防火牆不能防範不經過防火牆的攻擊。沒有經過防火牆的資料，防火牆無法檢查。

　　二、防火牆不能解決來自內部網路的攻擊和安全問題。防火牆可以設計為既防外也防內，誰都不可信，但絕大多數單位因為不方便，不要求防火牆防內。

　　三、防火牆不能防止策略配置不當或錯誤配置引起的安全威脅。防火牆是一個被動的安全策略執行裝置，就像門衛一樣，要根據政策規定來執行安全，而不能自作主張。

　　四、防火牆不能防止可接觸的人為或自然的破壞。防火牆是一個安全裝置，但防火牆本身必須存在於一個安全的地方。

　　五、防火牆不能防止利用標準網路協議中的缺陷進行的攻擊。一旦防火牆准許某些標準網路協議，防火牆不能防止利用該協議中的缺陷進行的攻擊。

　　六、防火牆不能防止利用伺服器系統漏洞所進行的攻擊。駭客透過防火牆准許的訪問埠對該伺服器的漏洞進行攻擊，防火牆不能防止。

　　七、防火牆不能防止受病毒感染的檔案的傳輸。防火牆本身並不具備查殺病毒的功能，即使整合了第三方的防病毒的軟體，也沒有一種軟體可以查殺所有的病毒。

　　八、防火牆不能防止資料驅動式的攻擊。當有些表面看來無害的資料郵寄或複製到內部網的主機上並被執行時，可能會發生資料驅動式的攻擊。

　　九、防火牆不能防止內部的洩密行為。防火牆內部的一個合法使用者主動洩密，防火牆是無能為力的。

　　十、防火牆不能防止本身的安全漏洞的威脅。防火牆保護別人有時卻無法保護自己，目前還沒有廠商絕對保證防火牆不會存在安全漏洞。因此對防火牆也必須提供某種安全保護。

　　防火牆十大脆弱性

　　一、防火牆的作業系統不能保證沒有漏洞。目前還沒有一家防火牆廠商說，其防火牆沒有作業系統。有作業系統就不能絕對保證沒有安全漏洞。

　　二、防火牆的硬體不能保證不失效。所有的硬體都有一個生命週期，都會老化，總有失效的一天。

　　三、防火牆軟體不能保證沒有漏洞。防火牆軟體也是軟體，是軟體就會有漏洞。

　　四、防火牆無法解決TCP/IP等協議的漏洞。防火牆本身就是基於TCP/IP等協議來實現的，就無法解決TCP/IP操作的漏洞。

　　五、防火牆無法區分惡意命令還是善意命令。有很多命令對管理員而言，是一項合法命令，而在駭客手裡就可能是一個危險的命令。

　　六、防火牆無法區分惡意流量和善意流量。一個使用者使用PING命令，用作網路診斷和網路攻擊，從流量上是沒有差異的。

　　七、防火牆的安全性與多功能成反比。多功能與防火牆的安全原則是背道而馳的。因此，除非確信需要某些功能，否則，應該功能最小化。

　　八、防火牆的安全性和速度成反比。防火牆的安全性是建立在對資料的檢查之上，檢查越細越安全，但檢查越細速度越慢。

　　九、防火牆的多功能與速度成反比。防火牆的功能越多，對CPU和記憶體的消耗越大，功能越多，檢查的越多，速度越慢。

　　十、防火牆無法保證准許服務的安全性。防火牆准許某項服務，卻不能保證該服務的安全性。准許服務的安全性問題必須由應用安全來解決。

　　市場需要新一代防火牆

　　在計算機網路日益普及的今天，市場需要新一代防火牆來改變目前的不安全域性面。

　　新一代防火牆定位於解決以下問題：1.協議的安全性問題；2.病毒產生的攻擊的問題；3.可信與不可信的問題；4.防火牆自身的安全性問題等。

　　隨著網路安全技術的不斷髮展，像物理隔離網閘（GAP）、防洩密系統（Anti-Disclosure）、防病毒閘道器（Anti-Virus Gateway）、抗攻擊閘道器（Anti-DDOS Gateway）、入侵檢測防禦（IDP）等技術，大大彌補了防火牆技術的不足，從而構成了更加安全的網路防禦體系。

　　你是不是疲於防範駭客？現在你應該採取攻勢了。至少這是所謂的蜜罐（honeypot）蘊含的思想。蜜罐是指目的在於吸引攻擊者、然後記錄下一舉一動的計算機系統。

　　蜜罐技術的實現

　　蜜罐好比是情報收集系統。蜜罐好像是故意讓人攻擊的目標，引誘駭客前來攻擊。所以攻擊者入侵後，你就可以知道他是如何得逞的，隨時瞭解針對貴公司伺服器發動的最新的攻擊和漏洞。還可以透過竊聽駭客之間的聯絡，收集駭客所用的種種工具，並且掌握他們的社交網路。

　　設定蜜罐並不難，只要在外部因特網上有一臺計算機執行沒有打上補丁的微軟Windows或者Red Hat Linux即行。因為駭客可能會設陷阱，以獲取計算機的日誌和審查功能，你就要在計算機和因特網連線之間安置一套網路監控系統，以便悄悄記錄下進出計算機的所有流量。然後只要坐下來，等待攻擊者自投羅網。

　　不過，設定蜜罐並不是說沒有風險。這是因為，大部分安全遭到危及的系統會被駭客用來攻擊其它系統。這就是下游責任（downstream liability），由此引出了蜜網（honeynet）這一話題。

　　蜜網是指另外採用了技術的蜜罐，從而以合理方式記錄下駭客的行動，同時儘量減小或排除對因特網上其它系統造成的風險。建立在反向防火牆後面的蜜罐就是一個例子。防火牆的目的不是防止入站連線，而是防止蜜罐建立出站連線。不過，雖然這種方法使蜜罐不會破壞其它系統，但同時很容易被駭客發現。

　　資料收集是設定蜜罐的另一項技術挑戰。蜜罐監控者只要記錄下進出系統的每個資料包，就能夠對駭客的所作所為一清二楚。蜜罐本身上面的日誌檔案也是很好的資料來源。但日誌檔案很容易被攻擊者刪除，所以通常的辦法就是讓蜜罐向在同一網路上但防禦機制較完善的遠端系統日誌伺服器傳送日誌備份。（務必同時監控日誌伺服器。如果攻擊者用新手法闖入了伺服器，那麼蜜罐無疑會證明其價值。）

　　近年來，由於黑帽子群體越來越多地使用加密技術，資料收集任務的難度大大增強。如今，他們接受了眾多電腦保安專業人士的建議，改而採用SSH等密碼協議，確保網路監控對自己的通訊無能為力。蜜網對付密碼的計算就是修改目標計算機的作業系統，以便所有敲入的字元、傳輸的檔案及其它資訊都記錄到另一個監控系統的日誌裡面。因為攻擊者可能會發現這類日誌，蜜網計劃採用了一種隱蔽技術。譬如說，把敲入字元隱藏到NetBIOS廣播資料包裡面。

　　蜜罐技術的優勢

　　蜜罐系統的優點之一就是它們大大減少了所要分析的資料。對於通常的網站或郵件伺服器，攻擊流量通常會被合法流量所淹沒。而蜜罐進出的資料大部分是攻擊流量。因而，瀏覽資料、查明攻擊者的實際行為也就容易多了。

　　自1999年啟動以來，蜜網計劃已經收集到了大量資訊，你可以在上找到。部分發現結果包括：攻擊率在過去一年增加了一倍；攻擊者越來越多地使用能夠堵住漏洞的自動點選工具（如果發現新漏洞，工具很容易更新）；儘管虛張聲勢，但很少有駭客採用新的攻擊手法。

　　蜜罐主要是一種研究工具，但同樣有著真正的商業應用。把蜜罐設定在與公司的Web或郵件伺服器相鄰的IP地址上，你就可以瞭解它所遭受到的攻擊。

　　當然，蜜罐和蜜網不是什麼“射後不理”（fire and forget）的安全裝置。據蜜網計劃聲稱，要真正弄清楚攻擊者在短短30分鐘內造成的破壞，通常需要分析30到40個小時。系統還需要認真維護及測試。有了蜜罐，你要不斷與駭客鬥智鬥勇。可以這麼說：你選擇的是戰場，而對手選擇的是較量時機。因而，你必須時時保持警惕。

　　蜜罐領域最讓人興奮的發展成果之一就是出現了虛擬蜜網。虛擬計算機網路執行在使用VMware或User-Mode Linux等虛擬計算機系統的單一機器之上。虛擬系統使你可以在單一主機系統上執行幾臺虛擬計算機（通常是4到10臺）。虛擬蜜網大大降低了成本、機器佔用空間以及管理蜜罐的難度。此外，虛擬系統通常支援“懸掛”和“恢復”功能，這樣你就可以凍結安全受危及的計算機，分析攻擊方法，然後開啟TCP/IP連線及系統上面的其它服務。

　　對大組織的首席安全官（CSO）來說，執行蜜網最充分的理由之一就是可以發現內部不懷好意的人。

　　蜜罐技術的法律問題

　　出乎意料的是，監控蜜罐也要承擔相應的法律後果，譬如說，有可能違反《反竊聽法》。雖然目前沒有判例法，但熟悉這方面法律的人士大多數認為，雙方同意的標語是出路所在。也就是說，給每個蜜罐打上這樣的標語：“使用該系統的任何人同意自己的行為受到監控，並透露給其他人，包括執法人員。”

　　

·上一篇：

·下一篇：

最新更新
	· · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·