诱捕式网络防御技术之研究
前言
网络共享计算机资源,方便之余,也给有心人士一个最佳入侵途径,不管其入侵目的为何,每个人所业管的机密数据是保护重点。现行国军网络环境在安全实体隔离的政策执行下,似乎保有了一块网络净土。但资安泄密事件仍频传,木马攻击事件仍发生,就表示系统漏洞、人员管制、信息贮存媒体携出入管理都出现了严重的问题。
根据CERT/CC在1995年至2006年第一季的统计资料,现行操作系统厂商所发现的系统漏洞共有24,313项系统弱点报告[1],这是官方的统计数据。从黑客社群、黑帽黑客(BlackHat)社群等非官方网站中,则流传许多未公开的系统漏洞,根本无法统计,因此,面对尚未发现的漏洞要如何防范,不明的入侵行为模式如何察觉,是信息防护需要努力的课题。
从趋势科技全球病毒实验室TrendLabs发表的2005年上半年度病毒报告[2]中可得知,蠕虫、特洛依木马、手机病毒、混合式攻击(MalwareTandem等四大病毒威胁性为全部病毒之冠。主要的病毒型态仍以特洛依木马病毒为主,共侦测到2,997只的木马程序,占所有病毒的39%;其中高达2,292只为新产生的特洛伊木马,高居所有新型病毒型态的47%。特洛依木马程序的隐匿入侵功能、蠕虫的迅速散播能力、再加上间谍程序高超的混合式攻击愈来愈普及,而目的意在窃取系统与使用者的相关信息、机密文件、网络银行账户与密码。
间谍软件会突破反间谍软件的侦测,进而终止程序并删除之,轻易地窃取机密档案。而在2005年2月9日现身的间谍软件TSPY_ASH.A造成反间谍软件(MicrosoftAntispyware)程序被终止,并且删除其相关档案,然后潜入网络银行窃取受害者重要数据。而变种的间谍软件TSPY_ASH.B会修改IE首页设定,甚至具备远程下载自我更新的能力。
针对以上系统漏洞的程序缺陷,再加以病毒、木马、蠕虫混合式攻击的不断变化,假设不知情的人员将来路不明的软件在国军「封闭式网络」中执行,计算机发生中毒现象,可以想象其所面临的危机是何等巨大。
综合上论,虽然信息安全的范畴虽不断的推展,但是良好的信息基础是永久不变的,其包含着所谓的安全三D:防御(Defense)、遏阻(Deterrence)、侦察(Detection),并藉以订定适用的资安政策。因此传统的信息安全技巧,主要是在阻挡攻击(防火墙)或实时侦测攻击(IDS入侵侦测系统)。这两种技术都非常重要,但也有其限制。只要有足够的时间和信息,攻击者就可以得知防
1
火墙允许外界存取哪些服务。一旦攻击者可通过防火墙存取内部服务器,防火墙就无法提供进一步的防护。IDS只有在攻击开始时才会提供信息。但这却无法为您争取足够的时间,以适度的保护所有易被攻击的系统。此外,IDS无法判断新的攻击是否成功,或者被入侵系统是否成为跳板,成功攻击其它系统。
而网络诱捕系统便是一个成功的反制措施,可以实质上拖延攻击者,同时能提供防御者足够的信息来了解敌人,避免攻击造成的损失。若能成功使用,就可以达到上述目标。藉由欺骗攻击者,防卫者透过提供错误信息,迫使对方浪费时间做无益的进攻,以减弱后续的攻击力量。此外,良好的诱捕机制让企业无须付出被成功入侵的代价,即可为防卫者提供攻击者手法和动机的相关信息。这项信息日后可以用来强化现有的安全措施,例如防火墙规则和IDS配置等。
本文
一、诱捕式网络防御技术之研究目的
「兵者,诡道也。故能而示之不能,用而示之不用,近而示之远,远而示之近;……攻其无备,出其不意。此兵家之胜,不可先传也。」──《孙子兵法》
数千年来,军事领袖为了战胜,都曾经欺骗过敌人。第二次世界大战期间,盟军诱使德国人相信,真正的攻击会发生在加来(PasdeCalais)而不是诺曼底;甚至在诺曼底登陆之后,希特勒还确信这是佯攻,因此未能及时响应。在「沙漠风暴」军事行动时,美国使用假士兵、军营,甚至战车来分散伊拉克军队的注意力,而真正的士兵却从别处攻进伊拉克,几乎如入无人之境。
在战场上运用的技巧,同样也可以用来防御网络上的资产不受今日狡狯的攻击者破坏。因特网为攻击者提供了一个自动化的公共知识库,可以用来向企业发动新型态的战争。例如,攻击者可以使用因特网,沉着地研究新的弱点。或者,只要下载一个自动化的黑客工具(exploit),一个新手也可能看似拥有专家的技能。在网络上甚至可以轻松的搜寻到如何绕过防火墙及「入侵侦测系统」(IDS)的相关信息。此外,自动化技术意味着攻击者可以花费几个月的时间找寻防御漏洞,而不必采取可能引人注意的互动方式。最后,由于网络的互连特性,来自各地的攻击者可对他们选定的任何系统发动攻击。
因此诱捕式(decoy-based)网络防御系统技术或所谓的“Honeypot”便在此扮演一重要的角色。所谓「诱捕」有隐藏本体、布置陷阱、放入诱饵、吸引猎物这四层涵意,引申其意,在信息安全领域中,诱捕式网络防御技术的目的
2
便是让重要的主机或设备被隐藏保护起来,在可能被攻击的前线布置陷阱等,例如防火墙的非军事区(DMZ)建置虚拟诱捕系统,或是在企业网络内部(Intrant)混合建置虚拟诱捕系统。同时,在诱捕系统中放入让黑客心动的假情报或假数据(诱饵),当黑客或有心人士采取行动的时候,除了目标错误而误中副车外,其具备的监控机制回报机制也能让管理人员立即处理、管制与预警和收集电子证物等。
二、网络诱捕系统的演进
Honeypot其实并不是一个新的概念。自从计算机开始互连以来,信息安全研究人员与专家就使用过不同形式的Honeypot。计算机的诱捕系统会被部署成吸引攻击者的目标,如一罐用来吸引并会困住昆虫的蜂蜜。使用Honeypot可以获得许多的好处。第一,它会消耗攻击者的时间。看诱敌深入到什么程度,攻击者可能耗费大量时间尝试刺探及研究诱捕系统─因此用在攻击Honeypot的时间,就不会用来攻击真实主机。第二,这会让攻击者对于现有的安全措施产生错误的印象,对方可能会花很多时间寻找工具攻击Honeypot,但这些工具在真实系统上可能无法运作。第三,有Honeypot的存在,可降低真实系统受到随机攻击或刺探的可能性。
许多攻击者会大规模扫描计算机,来找寻受害者。即使是针对特定机构的攻击,也会扫描该机构所拥有的公众系统,寻找一台计算机来入侵,做为攻击的起点。使用Honeypot会降低攻击者选择一台重要计算机作为目标的机率,而诱补系统也会侦测并记录最初的扫描,以及任何后续的攻击。
不像其它的入侵侦测机制,Honeypot不会有任何误报(falsepositive)。IDS产品大都会产生不同程度的误报,这是因为正常的通讯总是有可能刚好符合IDS用来侦测攻击的特征。但Honeypot就不会有这种情形。任何连往Honeypot的通讯都是可疑的,因为这个装置除了侦测攻击之外并没有任何其它的用途。换句话说,没有任何合法的通讯会产生误报。
如此一来,Honeypot可以比其它任何
