了解和实施蜜罐
蜜罐是一台用来模拟有价值的服务器甚至整个子网的机器。这个想法是让蜜罐变得如此有吸引力,以至于如果黑客破坏了网络的安全,她或他将被蜜罐而不是真正的系统所吸引。软件可以密切监视该系统上发生的一切,从而能够跟踪甚至识别入侵者。
蜜罐的基本前提是任何到蜜罐机器的流量都被认为是可疑的。由于蜜罐不是真实的机器,任何合法用户都不应该有理由连接到它。因此,任何试图连接到该机器的人都可以被视为可能的入侵者。蜜罐系统可以诱使他保持足够长的连接时间,以追踪他从哪里连接。下图说明了蜜罐的概念。
蜜罐
Spectre
Spectre 是一种软件蜜罐解决方案,还集成了 IDS 功能。Spectre蜜罐由一台运行 Spectre 软件的专用 PC 组成。Spectre 软件可以模拟主要的 Internet 协议/服务,例如 HTTP、FTP、POP3、SMTP 等,因此看起来是一个功能齐全的服务器。该软件设计为在 Windows 上运行,但它可以模拟 AIX、Solaris、Unix、Linux、Mac 和 Mac OS X。图显示了Spectre 的主要配置窗口。
Spectre 配置窗口
Spectre 的工作原理是运行许多网络服务器常见的服务。事实上,除了模拟多种操作系统外,它还可以模拟以下服务:
·邮件传输协议
·文件传输协议
·远程登录
·手指
·POP3
·IMAP4
·HTTP协议
·SSH
·域名系统
·太阳-RPC
·网络总线
·SUB-7
·BO2K
·通用陷阱
尽管 Spectre 看起来正在运行这些服务器,但它实际上只是监视所有传入流量。由于它不是您网络的真实服务器,因此合法用户不应连接到它。Spectre 将所有流量记录到服务器以进行分析。
用户可以将其设置为五种模式之一:
在所有模式下,Spectre 都会记录活动,包括它可以从传入数据包中获取的所有信息。它还试图在攻击者的计算机上留下痕迹,以便在以后需要采取民事或刑事诉讼时提供明确的证据。
用户还可以在所有模式下配置假密码文件。这些特别有用,因为大多数黑客都会尝试访问密码文件来破解密码。如果成功,他们就可以作为合法用户登录。黑客攻击的圣杯是获取管理员密码。
有多种方法可以配置这个假密码文件:
概括
有多种 IDS 可供使用。有些设计为在具有外围防火墙的外围运行,通常采用基于主机的配置。其他设备被设计为整个网络中的传感器或路由器类型的设备。蜜罐引诱黑客探索虚拟服务器,目的是让它们保持足够长的时间来识别它们。
完整的 IDS 解决方案应具有与外围防火墙配合工作的外围 IDS。最完整的 IDS 解决方案包括每个子网的多个传感器。理想情况下,管理员在每台主要服务器上放置一些 IDS 并实施蜜罐解决方案。
显然,这种水平的支出和复杂性并非在所有情况下都是可能的。此级别当然提供了最大的安全性,但许多组织不需要也无力承担此级别的安全性。组织至少应该有一个与外围防火墙一起运行的 IDS。由于可以使用免费的 IDS 解决方案,因此没有理由不拥有一个。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...