近几年来,很少有人会否认信息安全已经成为网络管理员所面对的最严重问题。管理员必须花费大量的时间来确保他的网络已经安装了最新的安全补丁以及防火墙,同时入侵检测系统也能够记录所有的可疑活动。不幸的是,当前的防火墙和入侵检测系统已经不再像以前那样有效了,因为随着网络的不安全因素的增多,防火墙和入侵检测系统的日志内容也日益庞大,甚至有些系统每天的日志量
就达1GB。在这个少花钱多办事的世界里,企业再也没有过多的人力用来每天处理如此大量的日志内容了。
我并不是说防火墙日志和入侵检测系统的报告是毫无价值的。事实上它们确实认真地履行了各自的任务。不过当你看到如此大量的信息和报告,而其中大部分都是对系统没有威胁的无目的的扫描时,你肯定会感到很沮丧。难道真的没有一种更好的安全防范方法么?
Honeypot解决信息过量问题
从某些角度来说,honeypot也许是一个更好的方法。Honeypot主要分为两类,真实的和虚拟的,这两类都是入侵者的诱饵。Honeypot这个概念来自几年前,那时候网络管理员希望有一种方法来找出到底是谁在探测网络。有句至理名言说“要想人不知,除非己莫为”,如果有人在探测网络,只要他向外发送数据,就一定会被察觉。因此有人利用了这个道理,在网络中建立了一个诱饵系统,它可以不时地向外发送与Windows网络服务有关的数据包,而那些监听网络的黑客获取数据包后,肯定会通过DNS查询来确定这个诱饵系统的更多资料。一旦DNS查询完成,则发送查询的主机名和IP地址包括查询时间就都会被记录下来。
由于这种技术提出的较早,因此诱饵系统或者说是honeypots发展的非常迅速。到目前,有不少公司都能提供多种honeypot解决方案。如果你关注网络安全,那么honeypot系统确实能让你获益匪浅。但在应用honeypot系统前,你需要在真实的honeypot或虚拟honeypot之间做个选择。
真实vs虚拟
对于真实或是虚拟honeypot的选择方面,你需要考虑的是风险和回报。虚拟honeypot比较廉价,但也有一定安全风险,它在抓住黑客方面做得没有真实的honeypot好。另一方面,虽然真实的honeypot在入侵检测方面比虚拟honeypot好很多,但最顶级的黑客有可能利用真实的honeypot接管你的网络。