蜜罐技术:消除防火墙局限和脆弱

防火墙是网络上使用最多的安全设备，是网络安全的重要基石。防火墙厂商为了占领市场，对防火墙的宣传越来越多，市场出现了很多错误的东西。其中一个典型的错误，是把防火墙万能化。但2002年8月的《计算机安全》中指出，防火墙的攻破率已经超过47%。正确认识和使用防火墙，确保网络的安全使用，研究防火墙的局限性和脆弱性已经十分必要。  
防火墙十大局限性  
一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。  

二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，不要求防火墙防内。  

三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。  

四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。  

五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。  

六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。  

七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。  

八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。  

九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。  

十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。  

防火墙十大脆弱性  

一、防火墙的操作系统不能保证没有漏洞。目前还没有一家防火墙厂商说，其防火墙没有操作系统。有操作系统就不能绝对保证没有安全漏洞。  

二、防火墙的硬件不能保证不失效。所有的硬件都有一个生命周期，都会老化，总有失效的一天。  

三、防火墙软件不能保证没有漏洞。防火墙软件也是软件，是软件就会有漏洞。  

四、防火墙无法解决TCP/IP等协议的漏洞。防火墙本身就是基于TCP/IP等协议来实现的，就无法解决TCP/IP操作的漏洞。  

五、防火墙无法区分恶意命令还是善意命令。有很多命令对管理员而言，是一项合法命令，而在黑客手里就可能是一个危险的命令。  

六、防火墙无法区分恶意流量和善意流量。一个用户使用PING命令，用作网络诊断和网络攻击，从流量上是没有差异的。  

七、防火墙的安全性与多功能成反比。多功能与防火墙的安全原则是背道而驰的。因此，除非确信需要某些功能，否则，应该功能最小化。  

八、防火墙的安全性和速度成反比。防火墙的安全性是建立在对数据的检查之上，检查越细越安全，但检查越细速度越慢。  

九、防火墙的多功能与速度成反比。防火墙的功能越多，对CPU和内存的消耗越大，功能越多，检查的越多，速度越慢。  

十、防火墙无法保证准许服务的安全性。防火墙准许某项服务，却不能保证该服务的安全性。准许服务的安全性问题必须由应用安全来解决。  

市场需要新一代防火墙  

在计算机网络日益普及的今天，市场需要新一代防火墙来改变目前的不安全局面。  

新一代防火墙定位于解决以下问题：1.协议的安全性问题；2.病毒产生的攻击的问题；3.可信与不可信的问题；4.防火墙自身的安全性问题等。  

随着网络安全技术的不断发展，像物理隔离网闸（GAP）、防泄密系统（Anti-Disclosure）、防病毒网关（Anti-Virus Gateway）、抗攻击网关（Anti-DDOS Gateway）、入侵检测防御（IDP）等技术，大大弥补了防火墙技术的不足，从而构成了更加安全的网络防御体系。  

你是不是疲于防范黑客？现在你应该采取攻势了。至少这是所谓的蜜罐（honeypot）蕴含的思想。蜜罐是指目的在于吸引攻击者、然后记录下一举一动的计算机系统。  


蜜罐技术的实现  

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对贵公司服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。  

设置蜜罐并不难，只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱，以获取计算机的日志和审查功能，你就要在计算机和因特网连接之间安置一套网络监控系统，以便悄悄记录下进出计算机的所有流量。然后只要坐下来，等待攻击者自投罗网。  

不过，设置蜜罐并不是说没有风险。这是因为，大部分安全遭到危及的系统会被黑客用来攻击其它系统。这就是下游责任（downstream liability），由此引出了蜜网（honeynet）这一话题。  

蜜网是指另外采用了技术的蜜罐，从而以合理方式记录下黑客的行动，同时尽量减小或排除对因特网上其它系统造成的风险。建立在反向防火墙后面的蜜罐就是一个例子。防火墙的目的不是防止入站连接，而是防止蜜罐建立出站连接。不过，虽然这种方法使蜜罐不会破坏其它系统，但同时很容易被黑客发现。  

数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包，就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻击者删除，所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。（务必同时监控日志服务器。如果攻击者用新手法闯入了服务器，那么蜜罐无疑会证明其价值。）  

近年来，由于黑帽子群体越来越多地使用加密技术，数据收集任务的难度大大增强。如今，他们接受了众多计算机安全专业人士的建议，改而采用SSH等密码协议，确保网络监控对自己的通讯无能为力。蜜网对付密码的计算就是修改目标计算机的操作系统，以便所有敲入的字符、传输的文件及其它信息都记录到另一个监控系统的日志里面。因为攻击者可能会发现这类日志，蜜网计划采用了一种隐蔽技术。譬如说，把敲入字符隐藏到NetBIOS广播数据包里面。  


蜜罐技术的优势  

蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。因而，浏览数据、查明攻击者的实际行为也就容易多了。  

自1999年启动以来，蜜网计划已经收集到了大量信息，你可以在www.honeynet.org上找到。部分发现结果包括：攻击率在过去一年增加了一倍；攻击者越来越多地使用能够堵住漏洞的自动点击工具（如果发现新漏洞，工具很容易更新）；尽管虚张声势，但很少有黑客采用新的攻击手法。  

蜜罐主要是一种研究工具，但同样有着真正的商业应用。把蜜罐设置在与公司的Web或邮件服务器相邻的IP地址上，你就可以了解它所遭受到的攻击。  

当然，蜜罐和蜜网不是什么“射后不理”（fire and forget）的安全设备。据蜜网计划声称，要真正弄清楚攻击者在短短30分钟内造成的破坏，通常需要分析30到40个小时。系统还需要认真维护及测试。有了蜜罐，你要不断与黑客斗智斗勇。可以这么说：你选择的是战场，而对手选择的是较量时机。因而，你必须时时保持警惕。  

蜜罐领域最让人兴奋的发展成果之一就是出现了虚拟蜜网。虚拟计算机网络运行在使用VMware或User-Mode Linux等虚拟计算机系统的单一机器之上。虚拟系统使你可以在单一主机系统上运行几台虚拟计算机（通常是4到10台）。虚拟蜜网大大降低了成本、机器占用空间以及管理蜜罐的难度。此外，虚拟系统通常支持“悬挂”和“恢复”功能，这样你就可以冻结安全受危及的计算机，分析攻击方法，然后打开TCP/IP连接及系统上面的其它服务。  

对大组织的首席安全官（CSO）来说，运行蜜网最充分的理由之一就是可以发现内部不怀好意的人。  
蜜罐技术的法律问题  
出乎意料的是，监控蜜罐也要承担相应的法律后果，譬如说，有可能违反《反窃听法》。虽然目前没有判例法，但熟悉这方面法律的人士大多数认为，双方同意的标语是出路所在。也就是说，给每个蜜罐打上这样的标语：“使用该系统的任何人同意自己的行为受到监控，并透露给其他人，包括执法人员。”