扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:51CTO.COM 2007年10月18日
关键字:
在本页阅读全文(共4页)
2 基于LINUX蜜网的防御系统的实现
本系统中使用IP分布如下:
Name |Type |IPorGroupitems |Description
Firewall |Workstation |10.10.14.11 |honeynetadministrator
Roxen |Workstation |10.10.14.20 |runningtheRoxenwebserver
DNS |Workstation |10.10.14.23 |DNSserver
Apache |Workstation |10.10.14.30 |webserver,vulnerabiliable
Honeynet |Group |Roxen+DNS+Apache |Theseareourhoneypots
本honeynet没有故意留下了漏洞,但可以通过Apache能够给用户一个nobodyshell,再使用EOE防止普通用户成为root,这样限制了攻击者所能做的事。在此基础上增加策略:
(1)有主机都可以通过ssh或MYSQL连通/firewall;
(2)有主机都可以连接到honeynet这个组;
(3)honeynet允许连接到任意主机;
(4)除了以上之外,所有的通信都被拦截;
(5)所有防火墙允许通过的数据都记录。
因此策略可以有下面四条:
Num Source Destination Service ActionLog
00 Firewall sshorMySQL AcceptLog
01 honeynet any acceptlog
02 honeynet any anyacceptlog
03 other any droplog
进行日志服务器配置
日志服务器数据库采用MYSQL,首先在MYSQL中建立snort和ssyslog的用户并分别给他们对各自数据库的INSERT,DELETE,USAGE,SELECT权限方法如下:
Echo CREATE DATABASE snort; | mysql – u root - pmypass
mysql> grant INSERT,SELECT on snort.* to root@* ;
入侵检测系统配置
作为一个Honeynet,有大量的数据需要手工分析,IDS在这里可以起到很大的帮助。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,它保护的一般是所在的系统。网络型入侵检测系统的数据源则是网络上的数据包。往往将一台主机的网卡设于混杂模式(promiscmode),监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。作为Honeynet,从目的考虑,我们需要捕获网络及主机上的所有信息。这时主机IDS的必要性不是非常明显,所以主机只要能够阻止用户执行shell或者成为超级用户就可以了。网络层使用snort作为入侵检测的记录工具。
主机IDS:EyeonExec如我们上面所说的,EyeonExec就是一个阻止用户执行shell或者成为超级用户的微型HIDS,它可以在发现这样的企图后报警,并且发送mail给系统管理员。
网络IDS:Snort
把snort配置为记录所有连接情况,HoneynetProject提供了一份snort.conf文件,在此snort一是充当了嗅探器的作用,不用再加载一个sniffer,这样可以减轻系统负载;二是一旦snort没有发现攻击特征,我们还可以通过连接记录的情况来发现入侵企图。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。