◆谢超群
基于开源框架的高校数据中心多蜜罐平台设计研究
◆谢超群
(福建中医药大学现代教育技术中心 福建 350000)
随着高校信息化的不断深入,高校校园业务增长迅速,学校数据中心面临的网络攻击日趋严重,如何有效记录和分析攻击者的行为成为高校数据中心面对的难题。本文结合高校数据中心所面对的安全形势,基于开源多蜜罐平台提出了一种解决方案。
多蜜罐平台;T-pot;数据中心
随着高校信息化程度的不断提高,高校的业务系统不断增多。各种业务系统由于所采取的软件框架和操作系统各不相同,部署的系统越多,安全漏洞就会越多,导致高校数据中心很容易成为攻击者的攻击目标。高校数据中心原有的网络安全工作面临着以下的问题:
(1)存在网络攻击行为分析困难的问题。高校数据中心一般都部署有网络攻击日志系统,但是该系统只能记录一些简单的网络攻击条目,无法方便地对网络攻击的行为进行细致分析[1]。
(2)存在防御网络攻击被动的问题。高校数据一般采用及时修复服务器和网络设备的漏洞和防火墙的技术手段来防御网络攻击,但是一旦漏洞修补不及时和防火墙产品本身存在缺陷,攻击者将很容易对数据中心的目标发起攻击,攻击之后很难了解攻击所采用的手段和方法,主动调整数据中心的安全策略。
(3)传统安全设备无法对未知攻击进行有效记录和分析。数据中心一般依靠防火墙和入侵检测设备来对已知的网络攻击来进行防御,但是一旦出现未知的新型网络攻击,这些设备将无法进行有效记录和分析[2]。
针对以上高校数据中心存在的问题,采用多蜜罐平台可以解决。多蜜罐平台可以模拟数据中心的各种服务和漏洞,引诱攻击者来访问。当攻击者进入蜜罐访问时,蜜罐会和攻击者产生交互行为,能主动检测相应攻击者的未知攻击工具和方法,并记录下攻击的来源、手段和工具[3]。
T-Pot是基于Ubuntu操作系统的多蜜罐平台,它利用Docker容器技术将蜜罐组件进行隔离,方便蜜罐组件的更新和维护,并可以定制自定义的蜜罐组件容器满足个性化需求。T-pot还提供统一的蜜罐数据分析和可视化平台,可以基于web的方式对该平台的各个组件进行维护和管理。T-Pot蜜罐平台的结构图如图1所示。
图1 T-pot多蜜罐平台系统结构图
T-Pot是一个多蜜罐平台,它可以模拟多种蜜罐,主要包括以下几种蜜罐组件容器:Cowrite是基于kippo修改的ssh蜜罐,可以模拟ssh环境对攻击者的非法登录和文件操作行为都可以进行记录和响应[4]。Dionaea是一个模拟常见网络服务的蜜罐,它可以模拟ftp,dns,http,https数据库系统等多种常见的网络服务环境,它能记录出入蜜罐的网络数据流,并可以将数据流进行分类汇集分析,同时可以保留攻击者的恶意攻击代码以进行分析[5]。Glastopf蜜罐主要用来模拟web的漏洞,它可以同时模拟多个不同种类的web漏洞,当攻击者用自动化漏洞扫描器和利用工具对蜜罐进行攻击时,可以记录攻击者的扫描行为,并根据漏洞的类别来给予适当的响应来迷惑攻击者[6]。Honeytrap主要是针对常见tcp和udp服务的攻击,它可以模拟smtp,pop,rdp,vnc等常用网络应用,并可以对攻击者的攻击字符串进行记录和分析[7]。Conpot是应用在工控领域的蜜罐,它模拟常见的工控系统环境,与攻击者用工控协议进行交互,记录攻击者的攻击工具和手段。该多蜜罐平台除包含蜜罐容器外,还包括一些系统运行所必需的组件:ELK组件容器负责收集T-Pot中的蜜罐收集到的各种攻击事件,对其进行分类存储,并利用各种图表组件对攻击事件进行可视化处理来呈现给最终用户。Portainer组件容器提供平台统一的web管理界面,对平台的各种蜜罐进行管理和维护。Suricate组件容器提供网络安全的威胁检测服务,可以对各种未知攻击进行检测和预警。Kibana Dashboard提供整个多蜜罐平台前端web界面,在此界面可以对整个平台进行的服务进行管理和维护,如蜜罐,威胁检测服务和主机事件等。ewsposter是多蜜罐平台的数据分析工具,它将整个平台的攻击数据进行收集并对照蜜网社区上的事件进行关联分析[8]。
随着高校信息化的不断深入,高校数据中心的教学、科研和管理业务系统不断增多,可以将这些种类众多的业务系统基于底层所使用的各种服务进行分类。可以分为web服务和数据库服务类。Web服务主要涉及到web管理系统和web程序的各种漏洞。web管理系统方面,Dionaea蜜罐容器可以对web管理系统的攻击提供模拟环境,记录攻击者发送和接受的数据包,web程序漏洞方面可以采用T-Pot中的Glastopf蜜罐容器来进行web攻击行为的跟踪和分析。数据库服务主要是针对数据库管理系统漏洞和数据库的注入漏洞攻击等,这方面可以采用T-Pot中的Dionaea蜜罐容器来对数据库漏洞攻击的检测和记录,Dionaea蜜罐容器可以针对常见的数据库如mysql,sqlserver等的攻击来进行检测和记录。高校数据中心除了包含教学、科研和管理业务系统,还包含一些公共服务业务系统。主要包括校园dns,校园ftp,文件共享系统,电子邮件系统等。针对校园dns,校园ftp,文件共享系统的攻击,采用Dionaea蜜罐容器可以模拟相应的环境并记录攻击者的行为。针对电子邮件系统的攻击,可以采用Honeytrap蜜罐容器来进行处理,该蜜罐容器可以模拟smtp,pop登录环境,对攻击者的攻击字符串进行记录和分析。高校数据中心在运维过程中,还包括常见的运维协议和工具,攻击者常常利用这些协议和工具的漏洞进行攻击,日常运维过程中主要包括ssh,vnc,rdp等协议。针对ssh协议的攻击,采用Cowrite蜜罐容器,该容器可以模拟ssh环境,对攻击者的登录行为和scp,sftp等文件操作都可以进行记录和模拟响应。针对vnc,rdp协议攻击,Honeytrap蜜罐容器可以对攻击者的行为进行响应和监视。由于Docker容器的里的数据会随着容器的重新启动而丢失,因此蜜罐容器记录的攻击事件相关数据不能存储在容器内部,可以在容器外部的宿主操作系统内设置一个目录,通过修改蜜罐容器dockerfile的方式将其映射到容器内部用来存放攻击事件相关数据,这样如果出现蜜罐容器重启或者崩溃的情况,攻击事件相关数据也不会丢失。
校园多蜜罐平台系统可以采用二台单路八核的服务器安装T-Pot平台,由于T-Pot平台已经将常用的蜜罐容器和容器操作系统环境包含在该系统中,我们无需单独安装相应的蜜罐容器以及容器操作系统环境。 直接在其中一台服务器裸机利用T-Pot平台系统镜像选择安装 Cowrie, Dionaea,Glastopf, Honeytrap蜜罐容器, 另外一台服务器选择安装ELK,Portainer, Suricate, Kibana Dashboard,ewsposter等T-pot系统组件, ELK,Portainer,来提供攻击事件的收集和攻击数据可视化,Suricate提供网络安全的威胁检测服务。Kibana Dashboard提供对整个平台的蜜罐,威胁检测服务和主机事件进行维护和管理。多蜜罐平台系统的二台服务器需要在同一个局域网中,该局域网需要支持dhcp,并将相应蜜罐容器所开放服务的端口经过NAT映射到外网,否则攻击者将无法访问T-pot系统平台,并进入蜜罐容器,达不到预期的效果。该多蜜罐平台建议部署在校园网络的入口路由器的DMZ区,数据中心安全设备之前,这样不仅可以防止攻击者通过蜜罐系统对数据中心真实业务服务器的攻击,还可以更加容易捕获来自互联网的攻击。
通过在高校数据中心部署T-pot多蜜罐平台可以对数据中心中大多数容易被攻击的服务和应用环境进行模拟,对未知的攻击来源,手段和攻击荷载能进行记录和分析,修补传统安全设备无法检测和记录新型网络攻击的缺陷。同时利用该平台的事件收集和可视化组件能对攻击者的来源,手段和工具进行高效和精确的分析,大大提高了高校数据中心安全运维水平[9]。
[1]诸葛建伟,唐勇,韩心慧,段海新.蜜罐技术研究与应用进展[J].软件学报,2013.
[2]程杰仁,殷建平,刘运,钟经伟.蜜罐及蜜网技术研究进展[J].计算机研究与发展,2008.
[3]张俊鹏,王飞戈.基于蜜罐技术的校园网络安全系统方案设计[J].武汉理工大学学报,2010.
[4]Cowrie hof/cowrie/blob/master/README.md,2017.
[5]Dionaeadocumentation.com/rep/dionaea/master/ README,2013.
[6]Glastopf documentation. https://github.com/ mushorg/gl astopf/blob/master/README.rst,2015.
[7]Honeytrap documentation.https:// github.com/ armedpot/ honeytrap/blob/master/README,2013.
[8]T-pot documentation.http:// dtag-dev-sec.github. io/ med iator/ feature/2016/10/31/t-pot-16.10.html 2016.
[9]李莉,孙华,张振宇.蜜罐技术在校园网络安全中的应用研究[J].新疆大学学报(自然科学版),2011.