基于開源框架的高校數(shù)據(jù)中心多蜜罐平臺設(shè)計(jì)研究

◆謝超群

?

基于開源框架的高校數(shù)據(jù)中心多蜜罐平臺設(shè)計(jì)研究

◆謝超群

(福建中醫(yī)藥大學(xué)現(xiàn)代教育技術(shù)中心 福建 350000)

隨著高校信息化的不斷深入，高校校園業(yè)務(wù)增長迅速，學(xué)校數(shù)據(jù)中心面臨的網(wǎng)絡(luò)攻擊日趨嚴(yán)重，如何有效記錄和分析攻擊者的行為成為高校數(shù)據(jù)中心面對的難題。本文結(jié)合高校數(shù)據(jù)中心所面對的安全形勢，基于開源多蜜罐平臺提出了一種解決方案。

多蜜罐平臺；T-pot；數(shù)據(jù)中心

0 引言

隨著高校信息化程度的不斷提高，高校的業(yè)務(wù)系統(tǒng)不斷增多。各種業(yè)務(wù)系統(tǒng)由于所采取的軟件框架和操作系統(tǒng)各不相同，部署的系統(tǒng)越多，安全漏洞就會越多，導(dǎo)致高校數(shù)據(jù)中心很容易成為攻擊者的攻擊目標(biāo)。高校數(shù)據(jù)中心原有的網(wǎng)絡(luò)安全工作面臨著以下的問題：

（1）存在網(wǎng)絡(luò)攻擊行為分析困難的問題。高校數(shù)據(jù)中心一般都部署有網(wǎng)絡(luò)攻擊日志系統(tǒng)，但是該系統(tǒng)只能記錄一些簡單的網(wǎng)絡(luò)攻擊條目，無法方便地對網(wǎng)絡(luò)攻擊的行為進(jìn)行細(xì)致分析[1]。

（2）存在防御網(wǎng)絡(luò)攻擊被動的問題。高校數(shù)據(jù)一般采用及時(shí)修復(fù)服務(wù)器和網(wǎng)絡(luò)設(shè)備的漏洞和防火墻的技術(shù)手段來防御網(wǎng)絡(luò)攻擊，但是一旦漏洞修補(bǔ)不及時(shí)和防火墻產(chǎn)品本身存在缺陷，攻擊者將很容易對數(shù)據(jù)中心的目標(biāo)發(fā)起攻擊，攻擊之后很難了解攻擊所采用的手段和方法，主動調(diào)整數(shù)據(jù)中心的安全策略。

（3）傳統(tǒng)安全設(shè)備無法對未知攻擊進(jìn)行有效記錄和分析。數(shù)據(jù)中心一般依靠防火墻和入侵檢測設(shè)備來對已知的網(wǎng)絡(luò)攻擊來進(jìn)行防御，但是一旦出現(xiàn)未知的新型網(wǎng)絡(luò)攻擊，這些設(shè)備將無法進(jìn)行有效記錄和分析[2]。

針對以上高校數(shù)據(jù)中心存在的問題，采用多蜜罐平臺可以解決。多蜜罐平臺可以模擬數(shù)據(jù)中心的各種服務(wù)和漏洞，引誘攻擊者來訪問。當(dāng)攻擊者進(jìn)入蜜罐訪問時(shí)，蜜罐會和攻擊者產(chǎn)生交互行為，能主動檢測相應(yīng)攻擊者的未知攻擊工具和方法，并記錄下攻擊的來源、手段和工具[3]。

1 開源多蜜罐平臺T-Pot介紹

T-Pot是基于Ubuntu操作系統(tǒng)的多蜜罐平臺，它利用Docker容器技術(shù)將蜜罐組件進(jìn)行隔離，方便蜜罐組件的更新和維護(hù)，并可以定制自定義的蜜罐組件容器滿足個性化需求。T-pot還提供統(tǒng)一的蜜罐數(shù)據(jù)分析和可視化平臺，可以基于web的方式對該平臺的各個組件進(jìn)行維護(hù)和管理。T-Pot蜜罐平臺的結(jié)構(gòu)圖如圖1所示。

圖1 T-pot多蜜罐平臺系統(tǒng)結(jié)構(gòu)圖

T-Pot是一個多蜜罐平臺，它可以模擬多種蜜罐，主要包括以下幾種蜜罐組件容器：Cowrite是基于kippo修改的ssh蜜罐，可以模擬ssh環(huán)境對攻擊者的非法登錄和文件操作行為都可以進(jìn)行記錄和響應(yīng)[4]。Dionaea是一個模擬常見網(wǎng)絡(luò)服務(wù)的蜜罐，它可以模擬ftp,dns,http,https數(shù)據(jù)庫系統(tǒng)等多種常見的網(wǎng)絡(luò)服務(wù)環(huán)境，它能記錄出入蜜罐的網(wǎng)絡(luò)數(shù)據(jù)流，并可以將數(shù)據(jù)流進(jìn)行分類匯集分析，同時(shí)可以保留攻擊者的惡意攻擊代碼以進(jìn)行分析[5]。Glastopf蜜罐主要用來模擬web的漏洞，它可以同時(shí)模擬多個不同種類的web漏洞，當(dāng)攻擊者用自動化漏洞掃描器和利用工具對蜜罐進(jìn)行攻擊時(shí)，可以記錄攻擊者的掃描行為，并根據(jù)漏洞的類別來給予適當(dāng)?shù)捻憫?yīng)來迷惑攻擊者[6]。Honeytrap主要是針對常見tcp和udp服務(wù)的攻擊，它可以模擬smtp,pop,rdp,vnc等常用網(wǎng)絡(luò)應(yīng)用，并可以對攻擊者的攻擊字符串進(jìn)行記錄和分析[7]。Conpot是應(yīng)用在工控領(lǐng)域的蜜罐，它模擬常見的工控系統(tǒng)環(huán)境，與攻擊者用工控協(xié)議進(jìn)行交互，記錄攻擊者的攻擊工具和手段。該多蜜罐平臺除包含蜜罐容器外，還包括一些系統(tǒng)運(yùn)行所必需的組件:ELK組件容器負(fù)責(zé)收集T-Pot中的蜜罐收集到的各種攻擊事件，對其進(jìn)行分類存儲，并利用各種圖表組件對攻擊事件進(jìn)行可視化處理來呈現(xiàn)給最終用戶。Portainer組件容器提供平臺統(tǒng)一的web管理界面，對平臺的各種蜜罐進(jìn)行管理和維護(hù)。Suricate組件容器提供網(wǎng)絡(luò)安全的威脅檢測服務(wù)，可以對各種未知攻擊進(jìn)行檢測和預(yù)警。Kibana Dashboard提供整個多蜜罐平臺前端web界面，在此界面可以對整個平臺進(jìn)行的服務(wù)進(jìn)行管理和維護(hù)，如蜜罐，威脅檢測服務(wù)和主機(jī)事件等。ewsposter是多蜜罐平臺的數(shù)據(jù)分析工具，它將整個平臺的攻擊數(shù)據(jù)進(jìn)行收集并對照蜜網(wǎng)社區(qū)上的事件進(jìn)行關(guān)聯(lián)分析[8]。

2 校園多蜜罐平臺系統(tǒng)的設(shè)計(jì)

隨著高校信息化的不斷深入，高校數(shù)據(jù)中心的教學(xué)、科研和管理業(yè)務(wù)系統(tǒng)不斷增多，可以將這些種類眾多的業(yè)務(wù)系統(tǒng)基于底層所使用的各種服務(wù)進(jìn)行分類?？梢苑譃閣eb服務(wù)和數(shù)據(jù)庫服務(wù)類。Web服務(wù)主要涉及到web管理系統(tǒng)和web程序的各種漏洞。web管理系統(tǒng)方面，Dionaea蜜罐容器可以對web管理系統(tǒng)的攻擊提供模擬環(huán)境，記錄攻擊者發(fā)送和接受的數(shù)據(jù)包，web程序漏洞方面可以采用T-Pot中的Glastopf蜜罐容器來進(jìn)行web攻擊行為的跟蹤和分析。數(shù)據(jù)庫服務(wù)主要是針對數(shù)據(jù)庫管理系統(tǒng)漏洞和數(shù)據(jù)庫的注入漏洞攻擊等，這方面可以采用T-Pot中的Dionaea蜜罐容器來對數(shù)據(jù)庫漏洞攻擊的檢測和記錄，Dionaea蜜罐容器可以針對常見的數(shù)據(jù)庫如mysql,sqlserver等的攻擊來進(jìn)行檢測和記錄。高校數(shù)據(jù)中心除了包含教學(xué)、科研和管理業(yè)務(wù)系統(tǒng)，還包含一些公共服務(wù)業(yè)務(wù)系統(tǒng)。主要包括校園dns,校園ftp，文件共享系統(tǒng)，電子郵件系統(tǒng)等。針對校園dns,校園ftp，文件共享系統(tǒng)的攻擊，采用Dionaea蜜罐容器可以模擬相應(yīng)的環(huán)境并記錄攻擊者的行為。針對電子郵件系統(tǒng)的攻擊，可以采用Honeytrap蜜罐容器來進(jìn)行處理,該蜜罐容器可以模擬smtp,pop登錄環(huán)境，對攻擊者的攻擊字符串進(jìn)行記錄和分析。高校數(shù)據(jù)中心在運(yùn)維過程中，還包括常見的運(yùn)維協(xié)議和工具，攻擊者常常利用這些協(xié)議和工具的漏洞進(jìn)行攻擊，日常運(yùn)維過程中主要包括ssh,vnc,rdp等協(xié)議。針對ssh協(xié)議的攻擊，采用Cowrite蜜罐容器，該容器可以模擬ssh環(huán)境，對攻擊者的登錄行為和scp,sftp等文件操作都可以進(jìn)行記錄和模擬響應(yīng)。針對vnc,rdp協(xié)議攻擊，Honeytrap蜜罐容器可以對攻擊者的行為進(jìn)行響應(yīng)和監(jiān)視。由于Docker容器的里的數(shù)據(jù)會隨著容器的重新啟動而丟失，因此蜜罐容器記錄的攻擊事件相關(guān)數(shù)據(jù)不能存儲在容器內(nèi)部，可以在容器外部的宿主操作系統(tǒng)內(nèi)設(shè)置一個目錄，通過修改蜜罐容器dockerfile的方式將其映射到容器內(nèi)部用來存放攻擊事件相關(guān)數(shù)據(jù)，這樣如果出現(xiàn)蜜罐容器重啟或者崩潰的情況，攻擊事件相關(guān)數(shù)據(jù)也不會丟失。

校園多蜜罐平臺系統(tǒng)可以采用二臺單路八核的服務(wù)器安裝T-Pot平臺，由于T-Pot平臺已經(jīng)將常用的蜜罐容器和容器操作系統(tǒng)環(huán)境包含在該系統(tǒng)中，我們無需單獨(dú)安裝相應(yīng)的蜜罐容器以及容器操作系統(tǒng)環(huán)境。 直接在其中一臺服務(wù)器裸機(jī)利用T-Pot平臺系統(tǒng)鏡像選擇安裝 Cowrie, Dionaea,Glastopf, Honeytrap蜜罐容器， 另外一臺服務(wù)器選擇安裝ELK,Portainer, Suricate, Kibana Dashboard，ewsposter等T-pot系統(tǒng)組件， ELK,Portainer,來提供攻擊事件的收集和攻擊數(shù)據(jù)可視化，Suricate提供網(wǎng)絡(luò)安全的威脅檢測服務(wù)。Kibana Dashboard提供對整個平臺的蜜罐,威脅檢測服務(wù)和主機(jī)事件進(jìn)行維護(hù)和管理。多蜜罐平臺系統(tǒng)的二臺服務(wù)器需要在同一個局域網(wǎng)中，該局域網(wǎng)需要支持dhcp，并將相應(yīng)蜜罐容器所開放服務(wù)的端口經(jīng)過NAT映射到外網(wǎng)，否則攻擊者將無法訪問T-pot系統(tǒng)平臺，并進(jìn)入蜜罐容器，達(dá)不到預(yù)期的效果。該多蜜罐平臺建議部署在校園網(wǎng)絡(luò)的入口路由器的DMZ區(qū)，數(shù)據(jù)中心安全設(shè)備之前，這樣不僅可以防止攻擊者通過蜜罐系統(tǒng)對數(shù)據(jù)中心真實(shí)業(yè)務(wù)服務(wù)器的攻擊，還可以更加容易捕獲來自互聯(lián)網(wǎng)的攻擊。

3 結(jié)束語

通過在高校數(shù)據(jù)中心部署T-pot多蜜罐平臺可以對數(shù)據(jù)中心中大多數(shù)容易被攻擊的服務(wù)和應(yīng)用環(huán)境進(jìn)行模擬，對未知的攻擊來源，手段和攻擊荷載能進(jìn)行記錄和分析，修補(bǔ)傳統(tǒng)安全設(shè)備無法檢測和記錄新型網(wǎng)絡(luò)攻擊的缺陷。同時(shí)利用該平臺的事件收集和可視化組件能對攻擊者的來源，手段和工具進(jìn)行高效和精確的分析，大大提高了高校數(shù)據(jù)中心安全運(yùn)維水平[9]。

[1]諸葛建偉，唐勇，韓心慧，段海新.蜜罐技術(shù)研究與應(yīng)用進(jìn)展[J].軟件學(xué)報(bào)，2013.

[2]程杰仁，殷建平，劉運(yùn)，鐘經(jīng)偉.蜜罐及蜜網(wǎng)技術(shù)研究進(jìn)展[J].計(jì)算機(jī)研究與發(fā)展，2008.

[3]張俊鵬，王飛戈.基于蜜罐技術(shù)的校園網(wǎng)絡(luò)安全系統(tǒng)方案設(shè)計(jì)[J].武漢理工大學(xué)學(xué)報(bào)，2010.

[4]Cowrie hof/cowrie/blob/master/README.md，2017.

[5]Dionaeadocumentation.com/rep/dionaea/master/ README，2013.

[6]Glastopf documentation. https://github.com/ mushorg/gl astopf/blob/master/README.rst，2015.

[7]Honeytrap documentation.https:// github.com/ armedpot/ honeytrap/blob/master/README，2013.

[8]T-pot documentation.http:// dtag-dev-sec.github. io/ med iator/ feature/2016/10/31/t-pot-16.10.html 2016.

[9]李莉，孫華，張振宇.蜜罐技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用研究[J].新疆大學(xué)學(xué)報(bào)(自然科學(xué)版)，2011.