◆謝超群

?

基于開源框架的高校數(shù)據(jù)中心多蜜罐平臺設計研究

◆謝超群

(福建中醫(yī)藥大學現(xiàn)代教育技術(shù)中心 福建 350000)

隨著高校信息化的不斷深入，高校校園業(yè)務增長迅速，學校數(shù)據(jù)中心面臨的網(wǎng)絡攻擊日趨嚴重，如何有效記錄和分析攻擊者的行為成為高校數(shù)據(jù)中心面對的難題。本文結(jié)合高校數(shù)據(jù)中心所面對的安全形勢，基于開源多蜜罐平臺提出了一種解決方案。

多蜜罐平臺；T-pot；數(shù)據(jù)中心

0 引言

隨著高校信息化程度的不斷提高，高校的業(yè)務系統(tǒng)不斷增多。各種業(yè)務系統(tǒng)由于所采取的軟件框架和操作系統(tǒng)各不相同，部署的系統(tǒng)越多，安全漏洞就會越多，導致高校數(shù)據(jù)中心很容易成為攻擊者的攻擊目標。高校數(shù)據(jù)中心原有的網(wǎng)絡安全工作面臨著以下的問題：

（1）存在網(wǎng)絡攻擊行為分析困難的問題。高校數(shù)據(jù)中心一般都部署有網(wǎng)絡攻擊日志系統(tǒng)，但是該系統(tǒng)只能記錄一些簡單的網(wǎng)絡攻擊條目，無法方便地對網(wǎng)絡攻擊的行為進行細致分析[1]。

（2）存在防御網(wǎng)絡攻擊被動的問題。高校數(shù)據(jù)一般采用及時修復服務器和網(wǎng)絡設備的漏洞和防火墻的技術(shù)手段來防御網(wǎng)絡攻擊，但是一旦漏洞修補不及時和防火墻產(chǎn)品本身存在缺陷，攻擊者將很容易對數(shù)據(jù)中心的目標發(fā)起攻擊，攻擊之后很難了解攻擊所采用的手段和方法，主動調(diào)整數(shù)據(jù)中心的安全策略。

（3）傳統(tǒng)安全設備無法對未知攻擊進行有效記錄和分析。數(shù)據(jù)中心一般依靠防火墻和入侵檢測設備來對已知的網(wǎng)絡攻擊來進行防御，但是一旦出現(xiàn)未知的新型網(wǎng)絡攻擊，這些設備將無法進行有效記錄和分析[2]。

針對以上高校數(shù)據(jù)中心存在的問題，采用多蜜罐平臺可以解決。多蜜罐平臺可以模擬數(shù)據(jù)中心的各種服務和漏洞，引誘攻擊者來訪問。當攻擊者進入蜜罐訪問時，蜜罐會和攻擊者產(chǎn)生交互行為，能主動檢測相應攻擊者的未知攻擊工具和方法，并記錄下攻擊的來源、手段和工具[3]。

1 開源多蜜罐平臺T-Pot介紹

T-Pot是基于Ubuntu操作系統(tǒng)的多蜜罐平臺，它利用Docker容器技術(shù)將蜜罐組件進行隔離，方便蜜罐組件的更新和維護，并可以定制自定義的蜜罐組件容器滿足個性化需求。T-pot還提供統(tǒng)一的蜜罐數(shù)據(jù)分析和可視化平臺，可以基于web的方式對該平臺的各個組件進行維護和管理。T-Pot蜜罐平臺的結(jié)構(gòu)圖如圖1所示。

圖1 T-pot多蜜罐平臺系統(tǒng)結(jié)構(gòu)圖

T-Pot是一個多蜜罐平臺，它可以模擬多種蜜罐，主要包括以下幾種蜜罐組件容器：Cowrite是基于kippo修改的ssh蜜罐，可以模擬ssh環(huán)境對攻擊者的非法登錄和文件操作行為都可以進行記錄和響應[4]。Dionaea是一個模擬常見網(wǎng)絡服務的蜜罐，它可以模擬ftp,dns,http,https數(shù)據(jù)庫系統(tǒng)等多種常見的網(wǎng)絡服務環(huán)境，它能記錄出入蜜罐的網(wǎng)絡數(shù)據(jù)流，并可以將數(shù)據(jù)流進行分類匯集分析，同時可以保留攻擊者的惡意攻擊代碼以進行分析[5]。Glastopf蜜罐主要用來模擬web的漏洞，它可以同時模擬多個不同種類的web漏洞，當攻擊者用自動化漏洞掃描器和利用工具對蜜罐進行攻擊時，可以記錄攻擊者的掃描行為，并根據(jù)漏洞的類別來給予適當?shù)捻憫獊砻曰蠊粽遊6]。Honeytrap主要是針對常見tcp和udp服務的攻擊，它可以模擬smtp,pop,rdp,vnc等常用網(wǎng)絡應用，并可以對攻擊者的攻擊字符串進行記錄和分析[7]。Conpot是應用在工控領域的蜜罐，它模擬常見的工控系統(tǒng)環(huán)境，與攻擊者用工控協(xié)議進行交互，記錄攻擊者的攻擊工具和手段。該多蜜罐平臺除包含蜜罐容器外，還包括一些系統(tǒng)運行所必需的組件:ELK組件容器負責收集T-Pot中的蜜罐收集到的各種攻擊事件，對其進行分類存儲，并利用各種圖表組件對攻擊事件進行可視化處理來呈現(xiàn)給最終用戶。Portainer組件容器提供平臺統(tǒng)一的web管理界面，對平臺的各種蜜罐進行管理和維護。Suricate組件容器提供網(wǎng)絡安全的威脅檢測服務，可以對各種未知攻擊進行檢測和預警。Kibana Dashboard提供整個多蜜罐平臺前端web界面，在此界面可以對整個平臺進行的服務進行管理和維護，如蜜罐，威脅檢測服務和主機事件等。ewsposter是多蜜罐平臺的數(shù)據(jù)分析工具，它將整個平臺的攻擊數(shù)據(jù)進行收集并對照蜜網(wǎng)社區(qū)上的事件進行關聯(lián)分析[8]。

2 校園多蜜罐平臺系統(tǒng)的設計

隨著高校信息化的不斷深入，高校數(shù)據(jù)中心的教學、科研和管理業(yè)務系統(tǒng)不斷增多，可以將這些種類眾多的業(yè)務系統(tǒng)基于底層所使用的各種服務進行分類?？梢苑譃閣eb服務和數(shù)據(jù)庫服務類。Web服務主要涉及到web管理系統(tǒng)和web程序的各種漏洞。web管理系統(tǒng)方面，Dionaea蜜罐容器可以對web管理系統(tǒng)的攻擊提供模擬環(huán)境，記錄攻擊者發(fā)送和接受的數(shù)據(jù)包，web程序漏洞方面可以采用T-Pot中的Glastopf蜜罐容器來進行web攻擊行為的跟蹤和分析。數(shù)據(jù)庫服務主要是針對數(shù)據(jù)庫管理系統(tǒng)漏洞和數(shù)據(jù)庫的注入漏洞攻擊等，這方面可以采用T-Pot中的Dionaea蜜罐容器來對數(shù)據(jù)庫漏洞攻擊的檢測和記錄，Dionaea蜜罐容器可以針對常見的數(shù)據(jù)庫如mysql,sqlserver等的攻擊來進行檢測和記錄。高校數(shù)據(jù)中心除了包含教學、科研和管理業(yè)務系統(tǒng)，還包含一些公共服務業(yè)務系統(tǒng)。主要包括校園dns,校園ftp，文件共享系統(tǒng)，電子郵件系統(tǒng)等。針對校園dns,校園ftp，文件共享系統(tǒng)的攻擊，采用Dionaea蜜罐容器可以模擬相應的環(huán)境并記錄攻擊者的行為。針對電子郵件系統(tǒng)的攻擊，可以采用Honeytrap蜜罐容器來進行處理,該蜜罐容器可以模擬smtp,pop登錄環(huán)境，對攻擊者的攻擊字符串進行記錄和分析。高校數(shù)據(jù)中心在運維過程中，還包括常見的運維協(xié)議和工具，攻擊者常常利用這些協(xié)議和工具的漏洞進行攻擊，日常運維過程中主要包括ssh,vnc,rdp等協(xié)議。針對ssh協(xié)議的攻擊，采用Cowrite蜜罐容器，該容器可以模擬ssh環(huán)境，對攻擊者的登錄行為和scp,sftp等文件操作都可以進行記錄和模擬響應。針對vnc,rdp協(xié)議攻擊，Honeytrap蜜罐容器可以對攻擊者的行為進行響應和監(jiān)視。由于Docker容器的里的數(shù)據(jù)會隨著容器的重新啟動而丟失，因此蜜罐容器記錄的攻擊事件相關數(shù)據(jù)不能存儲在容器內(nèi)部，可以在容器外部的宿主操作系統(tǒng)內(nèi)設置一個目錄，通過修改蜜罐容器dockerfile的方式將其映射到容器內(nèi)部用來存放攻擊事件相關數(shù)據(jù)，這樣如果出現(xiàn)蜜罐容器重啟或者崩潰的情況，攻擊事件相關數(shù)據(jù)也不會丟失。

校園多蜜罐平臺系統(tǒng)可以采用二臺單路八核的服務器安裝T-Pot平臺，由于T-Pot平臺已經(jīng)將常用的蜜罐容器和容器操作系統(tǒng)環(huán)境包含在該系統(tǒng)中，我們無需單獨安裝相應的蜜罐容器以及容器操作系統(tǒng)環(huán)境。 直接在其中一臺服務器裸機利用T-Pot平臺系統(tǒng)鏡像選擇安裝 Cowrie, Dionaea,Glastopf, Honeytrap蜜罐容器， 另外一臺服務器選擇安裝ELK,Portainer, Suricate, Kibana Dashboard，ewsposter等T-pot系統(tǒng)組件， ELK,Portainer,來提供攻擊事件的收集和攻擊數(shù)據(jù)可視化，Suricate提供網(wǎng)絡安全的威脅檢測服務。Kibana Dashboard提供對整個平臺的蜜罐,威脅檢測服務和主機事件進行維護和管理。多蜜罐平臺系統(tǒng)的二臺服務器需要在同一個局域網(wǎng)中，該局域網(wǎng)需要支持dhcp，并將相應蜜罐容器所開放服務的端口經(jīng)過NAT映射到外網(wǎng)，否則攻擊者將無法訪問T-pot系統(tǒng)平臺，并進入蜜罐容器，達不到預期的效果。該多蜜罐平臺建議部署在校園網(wǎng)絡的入口路由器的DMZ區(qū)，數(shù)據(jù)中心安全設備之前，這樣不僅可以防止攻擊者通過蜜罐系統(tǒng)對數(shù)據(jù)中心真實業(yè)務服務器的攻擊，還可以更加容易捕獲來自互聯(lián)網(wǎng)的攻擊。

3 結(jié)束語

通過在高校數(shù)據(jù)中心部署T-pot多蜜罐平臺可以對數(shù)據(jù)中心中大多數(shù)容易被攻擊的服務和應用環(huán)境進行模擬，對未知的攻擊來源，手段和攻擊荷載能進行記錄和分析，修補傳統(tǒng)安全設備無法檢測和記錄新型網(wǎng)絡攻擊的缺陷。同時利用該平臺的事件收集和可視化組件能對攻擊者的來源，手段和工具進行高效和精確的分析，大大提高了高校數(shù)據(jù)中心安全運維水平[9]。

[1]諸葛建偉，唐勇，韓心慧，段海新.蜜罐技術(shù)研究與應用進展[J].軟件學報，2013.

[2]程杰仁，殷建平，劉運，鐘經(jīng)偉.蜜罐及蜜網(wǎng)技術(shù)研究進展[J].計算機研究與發(fā)展，2008.

[3]張俊鵬，王飛戈.基于蜜罐技術(shù)的校園網(wǎng)絡安全系統(tǒng)方案設計[J].武漢理工大學學報，2010.

[4]Cowrie hof/cowrie/blob/master/README.md，2017.

[5]Dionaeadocumentation.com/rep/dionaea/master/ README，2013.

[6]Glastopf documentation. https://github.com/ mushorg/gl astopf/blob/master/README.rst，2015.

[7]Honeytrap documentation.https:// github.com/ armedpot/ honeytrap/blob/master/README，2013.

[8]T-pot documentation.http:// dtag-dev-sec.github. io/ med iator/ feature/2016/10/31/t-pot-16.10.html 2016.

[9]李莉，孫華，張振宇.蜜罐技術(shù)在校園網(wǎng)絡安全中的應用研究[J].新疆大學學報(自然科學版)，2011.