### Honeynet的定义,需求,和标准###
ver 1.5.2
Updated: 12 April, 2003
Chinese Version Translated By Squ4L1(squall@arthemistino.com)
Feel Free To Redistribute It, But Information Above Should Be Reserved
目的:
--------
这篇文档的目的是对Honeynet的定义,要求以及标准进行说明。其意图是为了能让不同的机构可以
用同样的一个基准独立的去研究,开发以及建造自己的Honeynet。想要了解关于什么是Honeynet,
它是如何工作的,以及它对于信息安全的价值等等的进一步信息(以及获得本文的最新版本),可以访问
以下地址
http://project.honeynet.org/papers/honeynet/
定义:
------------
发展Honeynet的目标是创造一个环境来在真实的条件下捕获黑帽子社群所使用的工具以及他们的
行为并进行分析。利用这些信息,我们就可以知道当前的Internet正面临着哪些威胁。Honeynet
的工作方式是创造一个我们可以对其进行高度控制的环境,并让该环境能够被黑帽子所探测,攻击,
甚至入侵。为了能够创造这样一个能高度控制的环境,Honeynet必须达到以下的要求。
I. 数据控制:
一旦Honeynet中的某个honeypot受到入侵,我们需要获取相关活动信息并且保证
honeypots不会被攻击者利用来侵害其他的非Honeynet系统。因此就必须有一些措
施能够对进出Honeynet的数据流通进行控制而又不能让黑帽子察觉到我们的控制行为。
II. 数据捕获:
捕获所有Honeynet中的活动以及进出Honeynet的信息,而不被黑帽子发现他们正受
到监视。
III. 数据搜集
如果该Honeynet是作为分布式环境的一部分,那么该Honeynet还必须满足数据搜集
方面的要求。一旦信息被捕获,它必须被安全的转移到一个中央数据搜集点上去。该要求
保证将由大量的Honeynet传感器捕获到的数据搜集到一起便于今后的分析和归档。
需要的条件:
-------------
I. 数据控制
以下是关于数据控制方面的特定要求。
a. 必须有自动化数据控制和手工数据控制两方面的措施。换句话说,数据控制可以通过自动响应
和手工干预实现。
b. 至少有两层的数据控制,以确保可靠性。
c. 在数据控制失败的情况下也不会让系统处于完全不设防的状况下。在所有数据控制层都出现问题
的情况下系统应当自动阻止honeypot与外界的一切联系。
d. 可以维护所有任何方向上的连接的状态。
e. 管理员可以在任何时间对honeynet进行配置来加强数据控制,包括远程管理员在内。
f. 对连接的控制应当在最大程度上避免被攻击者所察觉。
g. 在honeypot被入侵的时候自动报警。
II. 数据捕获
以下是关于数据捕获方面的特定要求。
a. Honeynet捕获到的数据不能在honeypot上本地存储。Honeynet捕获到的信息是指Honeynet
中的某个honeypot记录或者捕获的非正常的活动。
b. 数据干扰不能影响到Honeynet数据捕获的有效性。数据干扰指环境中任何非标准的活动。例如某
个非黑帽子为了测试某种工具而攻击honeypot。
c. 以下的活动必须得捕获而且保存一年时间。
- 连入/连出 情况(防火墙日志)
- 网络活动(从网络中捕获到的包)
- 系统活动
d. 具备从远程实时监视这些活动的能力。
e. 能够自动保存这些信息以用做将来的研究。
f. 为建立了的每一个honeypot维护一个标准的日志。
参考附录 A (Honeypot的建立)提供的模板。
g. 为每个受到侵害的honeypot维护一个标准的详细的说明。
参考附录 B (被侵害的Honeypot)提供的模板。
h. Honeynet网关的数据捕获必须使用GMT时区。
单个的honeypot可以使用本地时区,但是过后还是需要转换成GMT以进行后面的分析用途。
i. 用于数据捕获的资源必须保证安全不会受到侵害,以保护数据的完整性。
III. 数据搜集
如果该Honeynet不是分布式网络的一部分,那么就必须符合以下的要求。
a. Honeynet的命名应当规范与明确,这样可以方便对于每个Honeynet的类型与
独有标识的管理与维护。
b. 传感器与数据搜集器之间的传输必须安全,得保证数据的可靠性与完整性。
c. 机构可以对数据进行匿名化处理。这并不是说隐藏攻击者的数据,而是让提供数据
的机构可以隐藏他们自己的源IP地址以及其他可能会泄露机构内部信息的数据。
d. 分布式Honeynet应当基于NTP来进行标准化,保证所有Honeynet捕获到的数据
都能够同步。
标准:
----------
以下的标准应用于数据捕获以及数据搜集。所有的文档都应该保存为.txt或者.html格式。
I. 数据捕获标准
--------------------------
以下是数据捕获部分的标准。它说明了什么数据应当被每个Honeynet所捕获,捕获的数据
应当是什么的样的格式。这是一个最小化的标准。我们希望今后能提出更多的数据形式并且能
够捕获到这些数据。
a. 所有的网络活动(包于包中的所有负载)都必须以tcpdump二进制格式(OpenBSD下为
libpcap标准)捕获到并且进行压缩(gzip)。
b. 防火墙日志必须转化成ASCII格式,这样这些日志就可以以下面的形式上传到中央数据库中。
CREATE TABLE fwlogs (
id INT(10) NOT NULL auto_increment,
hid varchar(8) DEFAULT NULL,
timestamp datetime DEFAULT NULL,
type varchar(10) DEFAULT NULL,
status varchar(10) DEFAULT NULL,
protocol varchar(10) DEFAULT NULL,
srcip varchar(15) DEFAULT NULL,
srcport INT(5) DEFAULT NULL,
dstip varchar(15) DEFAULT NULL,
dstport INT(5) DEFAULT NULL,
icmptype INT(2) DEFAULT NULL,
icmpcode INT(2) DEFAULT NULL,
PRIMARY KEY (id),
INDEX (hid),
INDEX (timestamp),
INDEX (type),
INDEX (status)
);
c. 系统活动应当使用Sebek2提供的格式。
II. 数据搜集标准
-----------------------------
以下是数据搜集的标准。也就是发送到中央数据搜集点的是些什么样的数据,这些数据应当以什么格式
传输。这些标准定义了将数据传送到中央数据搜集点时应当采用什么格式与命名规则。
每个机构和他们的Honeynets都会分配一个独有的标识。该标识会被用来区分所有发送到中央信息搜集器
的信息。基于这篇文章的意图,我们把这些叫做ID(identifier)。目前可以自动向中央数据库上传四种类
型的Honeynet数据。
a. Tcpdump二进制日志
所有的Honeynet都可以采用以下的命令规范来转发捕获到的Tcpdump二进制日志。
(标识).tcpdump-yy-mm-dd.tar.gz
b. 防火墙日志,ASCII格式
防火墙记录的所有进出连接情况一般情况下发送时可以为ASCII文本格式。防火墙日志采用以下的
命令规范。
(标识).fwlogs-yy-mm-dd.txt
对于所有的ssh通讯来说,只允许使用DSA密匙来进行验证的ssh ver2。
附录A: Honeypot的建立
附录B: 被侵害的Honeypot
所有的意见,建议,或者改进意见可以发送到
project@honeynet.org.
--- The Honeynet Project
后记:翻译这个东东纯粹是为了好玩,赫赫,最近一个人在上海无聊ING,MM还在成都呢~~~>_<~~~,个人感觉这个标准有些地方比较晦涩,有些东西说得不大清楚,可能很多地方不大准确:P
有什么意见或者建议,可以MAIL到偶公司邮箱:squall@arthemistino.com或者偶在黑防的邮箱:squall@hacker.com.cn