科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道基于Linux蜜网(Honeynet)的防御系统

基于Linux蜜网(Honeynet)的防御系统

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着Internet的高速发展,个人、企业以及政府部门越来越多地依靠网络传递信息,然而网络的开放性与共享性使它正遭受着来自黑客、脚本编辑者所带来的巨大的安全威胁,一个安全可靠的防御网络成为现在安全领域的一个热点。

作者:51CTO.COM 2007年10月18日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共4页)

  2 基于LINUX蜜网的防御系统的实现

  本系统中使用IP分布如下:

  Name |Type |IPorGroupitems |Description

  Firewall |Workstation |10.10.14.11 |honeynetadministrator

  Roxen |Workstation |10.10.14.20 |runningtheRoxenwebserver

  DNS |Workstation |10.10.14.23 |DNSserver

  Apache |Workstation |10.10.14.30 |webserver,vulnerabiliable

  Honeynet |Group |Roxen+DNS+Apache |Theseareourhoneypots

  本honeynet没有故意留下了漏洞,但可以通过Apache能够给用户一个nobodyshell,再使用EOE防止普通用户成为root,这样限制了攻击者所能做的事。在此基础上增加策略:

  (1)有主机都可以通过ssh或MYSQL连通/firewall;

  (2)有主机都可以连接到honeynet这个组;

  (3)honeynet允许连接到任意主机;

  (4)除了以上之外,所有的通信都被拦截;

  (5)所有防火墙允许通过的数据都记录。

  因此策略可以有下面四条:

  Num Source Destination Service ActionLog

  00 Firewall sshorMySQL AcceptLog

  01 honeynet any acceptlog

  02 honeynet any anyacceptlog

  03 other any droplog

  进行日志服务器配置

  日志服务器数据库采用MYSQL,首先在MYSQL中建立snort和ssyslog的用户并分别给他们对各自数据库的INSERT,DELETE,USAGE,SELECT权限方法如下:

  Echo CREATE DATABASE snort; | mysql – u root - pmypass

  mysql> grant INSERT,SELECT on snort.* to root@* ;

  入侵检测系统配置

  作为一个Honeynet,有大量的数据需要手工分析,IDS在这里可以起到很大的帮助。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,它保护的一般是所在的系统。网络型入侵检测系统的数据源则是网络上的数据包。往往将一台主机的网卡设于混杂模式(promiscmode),监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。作为Honeynet,从目的考虑,我们需要捕获网络及主机上的所有信息。这时主机IDS的必要性不是非常明显,所以主机只要能够阻止用户执行shell或者成为超级用户就可以了。网络层使用snort作为入侵检测的记录工具。

  主机IDS:EyeonExec如我们上面所说的,EyeonExec就是一个阻止用户执行shell或者成为超级用户的微型HIDS,它可以在发现这样的企图后报警,并且发送mail给系统管理员。

  网络IDS:Snort

  把snort配置为记录所有连接情况,HoneynetProject提供了一份snort.conf文件,在此snort一是充当了嗅探器的作用,不用再加载一个sniffer,这样可以减轻系统负载;二是一旦snort没有发现攻击特征,我们还可以通过连接记录的情况来发现入侵企图。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章