扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
|
您是否准备好超越平常的抵御入侵者的方法,掌握更多的主动权?不用再坐等入侵者进犯,现在你可以利用伪装服务器或者伪装网络引诱(有些情况下甚至是捕获)入侵者,我 们称之为蜜罐(honeypot)或蜜网(honeynet)。
入侵检测和入侵防护是IT安全规划的重要目标,最好的入侵检测/防护策略会结合使用多种方法。以前我曾经谈到过如何选择能与业务一同发展的IDS/IPS工具或者软件产品。这里 将介绍一种相应的防御入侵者企破坏网络安全的方法。某些组织机构采用更为主动的方法,即设置“蜜罐”——一台伪装成实际的生产用设备的服务器,而它的实际用途只是要吸 引黑客。甚至有时整个网络都由这样的设备组成(经常是在某台服务器上运行的多个虚拟服务器)。下面介绍如何在您的入侵检测和入侵防护策略中加入蜜罐或蜜网,以及它们如何 成为网络中“真实”的一部分。
蜜网工作方式
蜜罐或蜜网是网上“针刺” 操作的基础:它能够诱敌深入,不用冒着暴露生产网络的风险就可以追踪入侵者的行为。这一方法目前是如此流行,以至于有了自己的博客网站:honeyblog。
虽然蜜罐电脑看似网络的一部分,但实际上与网络隔绝并有所保护,因此闯入蜜罐电脑的入侵者无法触及网络的其他部分。蜜罐的诱惑力源自其上所储存的资源,这些资源看起来 很象敏感或者保密的文件,能够提起黑客的兴趣。蜜罐处于严密监视下,入侵者很早就会被侦测出来,并能追查到黑客的源头。
蜜罐还有一个次要的作用就是转移入侵者的注意力,从而保护生产网络。
实施蜜罐或蜜网
一旦您决定在入侵检测/入侵防护策略上加点“蜜”,你就需要确定以下问题:
蜜罐的安置
你可以将蜜罐放置在内部网上,但是你的网络防护措施会保护蜜罐免受来自互联网的入侵者的袭击。内网蜜罐因此可以用来侦测来自LAN内部的袭击。如果内网蜜罐遭到来自互联网 的袭击,就说明网络边界的安全措施不够完善。如果蜜罐的吸引力够大,就可以保护任务关键内部服务器在安全措施不完备的情况下不会首先遭到入侵。
许多组织机构直接将蜜罐连入互联网。这样使得蜜罐很容易遭到袭击,经常会出现大量的入侵。因此,这样的蜜罐对于老练的黑客来说可能有一些可疑。
最常使用的方法是将蜜罐安置在DMZ或者网络边界上,就是位于互联网和内部LAN之间有防火墙保护的子网。
蜜罐或者虚拟蜜网设备应该仅作为检测系统使用,而不用做其他用途。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者