网络安全*第五章防火墙和入侵检测技术兰州交通大学李启南网络安全*1.1防火墙定义:计算机网络安全领域中的防火墙(Firewall)指位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称。其作用是防止不希望的、未经授权的通信进出被保护的网络,通过边界控制强化内部网络的安全政策。防火墙通常放置在外部网络和内部网络中间,执行网络边界的过滤封锁机制。网络安全*定义网络安全*1.1DMZ DMZ是英文“demilitarizedzone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
,对攻击者来说又多了一道关卡。网络安全*1.1DMZ 当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。1.内网可以访问外网 2.内网可以访问DMZ 3.外网不能访问内网 4.外网可以访问DMZ5.DMZ不能访问内网 6.DMZ不能访问外网 网络安全*1.1防火墙 在互联网上防火墙是一种非常有效的网络安全设备,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(即通常讲的内部网络)的连接,同时不妨碍本地网络用户对风险区域的访问。防火墙可以监控进出网络的通信,仅让安全、核准了的信息进入,抵制对本地网络安全构成威胁的数据。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使用户强化自己的网络安全政策,简化网络的安全管理。网络安全*1.1防火墙 总体上看,常见的防火墙应具有以下五大基本功能。 ①过滤进、出内部网络的数据。 ②管理进、出内部网络的访问行为。 ③封堵某些禁止的业务。 ④记录通过防火墙的信息内容和活动。 ⑤对网络攻击进行检测和报警。有的防火墙还根据需求包括其他的功能,如网络地址转换功能(NAT)、双重DNS、虚拟专用网络(VPN)、扫毒功能、负载均衡和计费等功能。网络安全*1.1防火墙 防火墙的特性: 防火墙一般放置在被保护网络的边界,要使防火墙起到安全防御作用,必须做到:使所有进出被保护网络的通信数据流必须经过防火墙,所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权,另外,防火墙本身也必须是不可被侵入的。网络安全*1.1防火墙 防火墙具有以下优点: ①防火墙对企业内部网实现了集中的安全管理,可以强化网络安全策略,比分散的主机管理更经济易行。 ②防火墙能防止非授权用户进入内部网络。 ③防火墙可以方便地监视网络的安全性并报警。 ④可以作为部署网络地址转换的地点,利用NAT技术,可以缓解地址空间的短缺,隐藏内部网的结构。 ⑤由于所有的访问都经过防火墙,防火墙是审计和记录网络访问和使用的最佳地方。网络安全*1.1防火墙 防火墙的局限性 ①防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查。传统的防火墙在工作时,入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门。 ②防火墙不能防止来自网络内部的攻击和安全问题。 ③由于防火墙性能上的限制,因此它通常不具备实时监控入侵的能力。 ④防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备,就像门卫一样,要根据政策规定来执行安全,而不能自作主张。 网络安全*1.1防火墙 ⑤防火墙不能防止受病毒感染的文件的传输,由于病毒种类繁多,如果要在防火墙完成对所有病毒代码的检查,防火墙的效率就会降到不能忍受的程度。 ⑥防火墙不能防止利用服务器系统和网络
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击,防火墙不能防止。 ⑦防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。 ⑧防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密,防火墙是无能为力的。 ⑨防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己,防火墙本身必须具有很强的抗攻击能力,以确保其自身的安全性。网络安全*1.1防火墙 包过滤防火墙:其技术依据是网络中的分包传输技术,它工作在OSI模型的网络层。 包过滤防火墙又被称为访问控制列表防火墙,其要遵循的一条基本原则是“最小特权原则”,即明确允许管理员指定希望通过的数据包,而禁止其他的数据包。 基本思想:选择路由的同时对数据包进行检查,根据定义好的过滤规则审查每个数据包并确定数据包是否与过滤规则匹配,从而决定数据包能否通过。网络安全*1.1防火墙 包过滤防火墙的优点是可以与现有的路由器集成,也可以用独立的包过滤软件实现,且数据包过滤对用户透明,成本低、速度快、效率高。 包过滤防火墙的缺点:(1)配置困难。包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,若是为了提高安全性而使用复杂的过滤规则,则效率极低。(2)防火墙工作在网络层,所以不能检测那些对高层进行的攻击。(3)为特定服务开放的端口也存在危险,可能被用于其他传输。(4大多数包过滤防火墙都是基于IP包头中的信息进行过滤的,但IP包中信息的可靠性没有保障,IP源地址可以伪造,通过与内部合谋,入侵者轻易就可以绕过防火墙。网络安全*1.1防火墙 代理防火墙的原理是通过编程来弄清用户应用层的流量,并能在用户层和应用协议层提供访问控制。而且,还可记录所有应用程序的访问情况,记录和控制所有进出流量的能力是代理防火墙的主要优点之一。代理防火墙一般是运行代理服务器的主机。 代理服务器指代表客户处理与服务器连接请求的程序。当代理服务器接收到用户对某站点的访问请求后,便会检查该请求是否符合规则,如果规则允许用户访问该站点的话,代理服务器会像一个客户一样去那个站点取回所需信息再转发给客户。代理服务器通常都拥有一个高速缓存,这个缓存存储着用户经常访问的站点内容,在下一个用户要访问同一站点时,服务器就不用重复地获取相同的内容,直接将缓存内容发出即可,既节约了时间也节约了网络资源。网络安全*1.1代理防火墙 网络安全*1.1防火墙 代理服务器通常运行在两个网络之间,它对于客户来说像是一台真的服务器,而对于外界的服务器来说,它又是一台客户机。其工作原理如上图所示。从图中可以看出,代理服务器作为内部网络客户端的服务器,拦截所有客户端要求,也向客户端转发响应;代理客户负责代表内部客户端向外部服务器发出请求,当然也向代理服务器转发响应。代理服务器会像一堵墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知任何的内部资源。网络安全*1.1防火墙 代理技术的优点首先是易于配置。因为代理是一个软件,所以它较过滤路由器更易配置。其次,代理能生成各项记录。因代理工作在应用层,它检查各项数据,可生成各项日志、记录,也可以用于记费等应用。再次,代理能灵活、完全地控制进出流量和内容,能过滤数据内容以及能为用户提供透明的加密机制。最后代理还可以方便地与其他安全手段集成。 代理技术的缺点首先是其速度较路由器慢,且对用户不透明。其次,对于每项服务,代理可能要求不同的服务器。还有代理服务不能保证免受所有协议弱点的限制。再次,代理取决于在客户端和真实服务器之间插入代理服务器的能力,这要求两者之间交流的相对直接性,而且有些服务的代理是相当复杂的。最后,代理不能改进底层协议的安全性。网络安全*1.1防火墙 状态检测防火墙的工作原理是它的安全特性非常好,其采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后制订安全决策的参考。 状态检测防火墙的优点是检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。其次,它可以检测RPC和UDP之类的端口信息,而包过滤和代理网关都不支持此类端口。最后状态防火墙的性能非常坚固。 状态检测防火墙的缺点是配置非常复杂,而且会降低网络的速度。网络安全*1.1防火墙 目前普遍的防火墙按组成结构可分为以下三种。 ①软件防火墙 ②硬件防火墙 这里所说的硬件防火墙是针对芯片级防火墙来说的。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,它们都基于PC架构,就是说,它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有UNIX、Linux和FreeBSD系统。 ③芯片级防火墙 基于专门的硬件平台,核心部分就是ASIC芯片,所有的功能都集成在芯片上。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。网络安全*1.1防火墙 芯片级防火墙专有的ASIC芯片,促使它们比其他种类的防火墙速度更快,处理能力更强。专用硬件和软件的结合提供了线速处理、深层次信息包检查、坚固的加密、复杂内容和行为扫描功能的优化等,不会在网络流量的处理上出现瓶颈。目前使用芯片级防火墙技术成为实现千兆乃至万兆防火墙的主要选择。网络安全*1.2防火墙防御体系结构 目前,防火墙的防御体系结构主要有双宿/多宿主机防火墙、屏蔽主机防火墙和屏蔽子网防火墙三种。双宿/多宿主机防火墙(Dual-Homed/Multi-HomedFirewall)又称为双宿/多宿网关防火墙。它是一种拥有两个或多个连接到不同网络上的网络接口的防火墙,通常用一台装有两块或多块网卡的堡垒主机做防火墙,两块或多块网卡各自与受保护网和外部网相连,其体系结构下图所示。网络安全*1.2.1双宿/多宿主机防火墙网络安全*1.2.1双宿/多宿主机防火墙 堡垒主机是一种被强化的可以防御攻击的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。可以看出,堡垒主机是网络中最容易受到侵害的主机,所以堡垒主机也必须是自身保护最完善的主机。 双宿/多宿主机防火墙的特点是主机的路由功能是被禁止的,两个网络之间的通信通过应用层代理服务来完成。堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查非常有用,但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵,一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内部网络。网络安全*1.2.2屏蔽主机防火墙网络安全*1.2.2屏蔽主机防火墙 如图所示,屏蔽主机网关包括一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络惟一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。 在屏蔽的路由器中数据包过滤配置按下列方式之一执行: (1)允许其他的内部主机为了某些服务与因特网上的主机连接(即允许那些已经有数据包过滤的服务)。 (2)不允许来自内部主机的所有连接(强迫那些主机经由堡垒主机使用代理服务)。网络安全*1.2.3屏蔽子网防火墙网络安全*1.2.3屏蔽子网防火墙 这种类型的防火墙是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现过程中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区(DeMilitarisedZone—DMZ)”。 内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信,像WWW和FTP服务器可放在DMZ中。有的屏蔽子网中还设有一台堡垒主机作为惟一可访问点,支持终端交互或作为应用网关代理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。网络安全*1.2.4防火墙部署过程和典型部署模式 防火墙部署的基本过程包含以下几个步骤。 (1)根据公司或组织的安全策略需求,将网络划分为若干安全区域。 (2)在安全区域之间设置针对网络通信的访问控制点。 (3)针对不同访问控制点的通信业务需求,制定相应的边界安全策略。 (4)根据控制点的边界安全策略,采用合适的防火墙技术和防范结构。 (5)在防火墙上,配置实现对应的边界安全策略。 (6)测试验证边界安全策略是否正常执行。 (7)运行和维护防火墙。网络安全*1.2.4纵向网络中部署防火墙网络安全*1.2.4内部网络安全防御防火墙部署网络安全*1.2.4高可靠性网络中防火墙的部署网络安全*1.3入侵检测技术 入侵(Intrusion)是指任何试图危害资源的完整性、可信度和可获取性的动作。 入侵检测(IntrusionDetection)是对入侵行为的检测。即发现或确定入侵行为存在或出现的动作。也就是发现、跟踪并记录计算机系统或计算机网络中的非授权行为,或发现并调查系统中可能为试图入侵或病毒感染所带来的异常活动。网络安全*1.3入侵检测技术 入侵检测作为一种积极主动的安全防御技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测通过执行以下任务来实现:监视、
分析
定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析
用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。网络安全*1.3入侵检测技术 入侵检测系统(IntrusionDetectiveSystem,简称IDS)是从计算机网络中的若干关键点收集信息,并分析这些信息,检测网络中是否有违反安全策略的行为和遭到袭击的迹象。将入侵检测的软件与硬件进行组合便是入侵检测系统。它是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。与其他网络安全设备的不同之处在于,IDS采用积极主动的安全防御技术。网络安全*1.3通用入侵检测模型网络安全*1.3入侵检测技术 通用入侵检测模型(CommonIntrusionDetectionFramework,CIDF),阐述了一个
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
的IDS的通用工作原理模型。CIDF将IDS需要分析的数据统称为事件(event),它可以是基于网络的IDS从网络中提取的数据包,也可以是基于主机的IDS从系统日志等其它途径得到的数据信息。网络安全*1.3入侵检测技术 入侵检测系统的功能有以下几个方面。 ①监视用户和系统的运行情况,查找非法用户和合法用户的越权操作。 ②检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞。 ③对用户的非正常活动进行统计分析,发现入侵行为的规律。 ④检查系统程序和数据的一致性和正确性。 ⑤通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件发生。 ⑥评估系统关键资源和数据文件的完整性。 ⑦识别已知的攻击行为和统计分析异常行为。 ⑧操作系统日志管理,并识别违反安全策略的用户活动。网络安全*1.3入侵检测技术 入侵检测系统首先要解决的问题是数据源。入侵检测系统根据其检查数据的来源可分为三类:基于主机的入侵检测系统基于网络的入侵检测系统混合型入侵检测系统。网络安全*1.3入侵检测技术 系统类型 优点 缺点 基于主机的入侵检测系统 ①判断准确率高②监控各种特定的系统活动③发现网络IDS系统无法发现的攻击④不需要额外的硬件⑤入门成本低 ①监测不到网络活动②需要占用额外的CPU和存储资源③需要适应不同的操作系统 基于网络的入侵检测系统 ①发现主机IDS系统无法发现的攻击②攻击者很难毁灭证据③快速监测和响应④能够监测到失败的攻击行为和恶意行为⑤独立于操作系统 ①不能处理加密通信②较难处理高速网络③不能处理不通过网络发起的攻击网络安全*1.3入侵检测技术 从采用检测技术的不同可将入侵检测系统分为异常检测模型和误用检测模型两种。(1)异常检测(AnomalyDetection)模型:根据使用者的行为或资源使用状况的正常程度来判断是否入侵,而不依赖于具体行为是否出现异常来检测。异常检测与系统相对无关,通用性较强。由于不可能对整个系统内的所有用户行为进行全面地描述,而且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高,尤其在用户数据众多,或工作方式经常改变的环境中。网络安全*1.3入侵检测技术(2)误用检测(MisuseDetection)模型:根据已定义好的入侵模式,通过判断在实际的安全审计数据中是否出现这种入侵模式来完成检测功能。这种方法由于依据具体特征库进行判断,所以检测准确度很高,并且因为检测结果有明确的参照,也为系统管理员及时做出相应措施提供了方便。误用检测的主要缺陷在于检测范围受已有知识的局限,无法检测未知的攻击类型。另外检测系统对目标的依赖性太强,不但系统移植性不好,维护工作量大,而且将具体入侵手段抽象成知识也是比较困难的。网络安全*1.3入侵检测技术 入侵检测系统根据工作方式分为离线检测系统和在线检测系统。 入侵检测过程分为三部分:信息收集、信息分析和结果处理。 常用的入侵检测方法有三种,分别是静态配置分析、异常性检查方法和基于行为的检测方法。网络安全*1.4入侵防御系统防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。 入侵检测系统通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。入侵防御系统(IntrusionPreventionSystem,简称IPS)是一种主动的、积极的入侵防范及阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。IPS的检测功能类似于IDS,但IPS检测到攻击后会采取行动阻止攻击,可以说IPS是建立在IDS发展的基础上的新生的网络安全产品。网络安全*1.4入侵防御系统入侵防御系统提供积极主动防御,其
设计
领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计
宗旨是预先对入侵活动和攻击性网络流进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。入侵防御系统通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在入侵防御系统中被清除掉。IPS工作原理图所示。网络安全*1.4入侵防御系统网络安全*1.4入侵防御系统 IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。网络安全*1.4入侵防御系统如果有攻击者利用第二层(介质访问控制)至第七层(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对网络层或传输层进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。网络安全*1.4入侵防御系统入侵防御系统可分为基于主机的入侵防御、基于网络的入侵防御和基于应用的入侵防御。入侵防御系统的技术特征包括: (1)嵌入式运行。只有以嵌入模式运行的IPS设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。 (2)深入分析和控制。IPS必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。 (3)入侵特征库。高质量的入侵特征库是IPS高效运行的必要条件,IPS还应该定期升级入侵特征库,并快速应用到所有传感器。网络安全*1.4入侵诱骗技术入侵诱骗技术是相对传统入侵检测技术更为主动的一种安全技术,主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。它是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并找到有效的对付方法。 蜜罐(Honeypot)技术通过一个由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。其最重要的功能是特殊设置的对于系统中所有操作的监视和记录,网络安全专家通过精心的伪装使得黑客在进入到目标系统后,仍不知晓自己所有的行为已处于系统的监视之中。网络安全*1.4蜜罐的防护原理网络安全*1.4蜜罐的体系框架网络安全*1.4入侵诱骗技术设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此,对于一台合格的蜜罐来说,应该拥有以下的功能:发现攻击,产生警告,强大的记录能力,欺骗,协助调查。另外一个功能由管理员去完成,那就是在必要时根据蜜罐收集的证据来起诉入侵者。网络安全*1.4入侵诱骗技术蜜罐并不修正任何问题,它们仅提供额外的、有价值的信息。所以说Honeypot并非是一种安全的解决方案,这是因为它并不会“修理”任何错误。它只是一种工具,如何使用这个工具取决于用户想做什么。为了方便攻击,一般是将Honeypot设置成域名服务器Web或电子邮件转发服务等流行应用中的一种。 蜜罐的特点主要有两个:首先,蜜罐技术不是一个单一的技术或设备,而是一个安全的网络系统,是一种高度相互作用的Honeypot,在该系统中,装有多个系统和应用软件;其次,所有放置在蜜罐网内的系统都是标准的产品系统,即真实的系统和应用软件,都不是仿效的。网络安全*1.4蜜网系统结构图网络安全*1.4入侵诱骗技术 蜜网(Honeynet)是一种特殊的Honeypot,Honeypot物理上通常是一台运行单个操作系统或者借助于虚拟化软件运行多个虚拟操作系统的“牢笼”主机。单机蜜罐系统最大的缺陷在于数据流将直接进入网络,管理者难以控制蜜罐主机外出流量,入侵者容易利用蜜灌主机作为跳板来攻击其他机器。解决这个问题方法是把蜜罐主机放置在防火墙的后面,所有进出网络的数据都会通过这里,并可以控制和捕获这些数据,这种网络诱骗环境称为蜜网(honeynet)。 网络安全*1.4入侵诱骗技术 图中包括了三个不同的网络:Honeynet、管理网络和Internet。其中,日志/告警服务器、IDS与防火墙组成管理网络,Solaris服务器、Windows2003服务器、Linux服务器、日志服务器和交换机组成蜜网Honeynet。在该系统中,防火墙、IDS和蜜罐主机的系统负责日志的捕获。因为手段高明的入侵者攻入系统后,通常会试图更改甚至销毁目标主机上易于暴露入侵行为的各种纪录。网络安全*1.4入侵诱骗技术 蜜网在确保不被入侵者发现诱骗的前提下,尽可能多地捕获攻击行为信息,包括所有的按键纪录、CPU的使用率、使用过的各种协议数据包内容等,同时要注意充分保证捕获信息的完整和安全。防火墙在IP层纪录所有进出蜜网的连接,设计为允许所有进入的连接,但是对从Honeynet向Internet发起的连接进行跟踪,一旦Honeynet达到了规定的向外的连接数,防火墙将阻断任何后续的连接,并且及时向系统管理员发出警告信息;IDS在数据链路层对蜜网中的网络数据流进行监控,分析和抓取数据流信息,以便将来能够重现攻击行为,同时在发现可疑举动时报警。蜜罐主机除了使用操作系统自身提供的日志功能外,还可以利用第三方软件加强日志功能,并且传输到安全级别更高的远程日志服务器上备份。网络安全*1.4入侵诱骗技术(1)网络欺骗技术:为了使蜜罐对入侵者更有吸引力,通常应采用各种欺骗手段。例如,在欺骗主机上模拟一些操作系统、一些网络攻击者最“喜欢”的端口和各种认为有入侵可能的漏洞等。(2)端口重定向技术:可以在工作系统中模拟一个非工作服务。例如,在网络中正常使用了Web服务(80端口),此时将Telnet(23端口)和FTP(21端口)服务重定向到蜜罐系统中,这两个服务实际上是没有开启的,但攻击者在进行扫描时则发现这两个端口是开放的,实际上这两个端口是Honeynet虚拟出来的,对其攻击则不会造成危害。 网络安全*1.4入侵诱骗技术(3)攻击(入侵)报警和数据控制:蜜罐系统本身就可以模拟成一个操作系统,我们可以把其本身设定成为易攻破的一台主机,即开放一些端口并设置弱口令等,并设定出相应的回应程序,如在Linux中的Shell和FTP程序,当攻击者“入侵”进入系统(Honeynet虚拟出来的系统)后,就相当于攻击者进入一个设定的“陷阱”,那么攻击者所做的一切都在其监视之中,攻击者的行为可以是:Telnet密码暴力破解、添加新用户、权限提升、删除/添加文件等。还可以给入侵者一个网络连接,允许其进行网络数据传输,并可以作为跳板进行其他攻击,以更真实地迷惑攻击者。 网络安全*1.4入侵诱骗技术 (4)数据捕获技术:在攻击者入侵的同时,蜜罐系统将记录攻击者的输入/输出信息、键盘记录信息、屏幕信息以及攻击者启动的进程和使用过的工具,分析攻击者所要进行的下一步操作。对于捕获的数据,应存放在安全的服务器中,不应存放在Honeynet主机上,防止被攻击者发现,以免被攻击者觉察到是一个“陷阱”而提前退出。
浙公网安备 33021202002483