无线蜜罐—另类安全技术
网络世界记者 闫冰 2006-9-25 阅读人次:5614
无线网络在给用户带来方便的同时,也带来了更多的安全隐患。虽然有很多办法用于加强无线网络的安全性,但是启动MAC地址过滤、设置WEP密钥和WPA这些措施只能避免一般的攻击,对于“黑客”高手而言仍然有破解的途径。无线蜜罐(Honeypot)的应用,实际上是为保障无线安全的问题换了一个思路,即从被动地严防死守到主动出击,通过设置假目标“诱捕”无线攻击者。
什么是“Honeypot”
在描述蜜罐的定义时,一个很著名的说法是来自Honeynet项目的领导者Lance Spitzner:“蜜罐是一种用来引诱未经验证或非法访问的信息系统资源。”据说这一概念最早出现在1990 年出版的小说《The Cuckoo’s Egg》中,作者讲述了自己身为公司的网络管理员,如何追踪并发现一起商业间谍案的故事。
作为一种安全资源,无线蜜罐的作用主要体现在两个方面:一是通过搭建一个或多个易受攻击的虚假的AP,诱使攻击者入侵,同时记录下攻击次数、攻击手段、最容易被攻击的安全措施等统计信息;二是将攻击者拖延在蜜罐上,消耗攻击造成的破坏程度,间接保护真正的无线系统。其中第一个方面为无线蜜罐的主要价值,对攻击信息的监测、获取和分析对于管理员增强无线安全性意义重大。
设计难度大
要成功“诱捕”攻击者并不容易,需要对无线蜜罐进行恰当的配置,就像在鱼钩上放上合适的鱼饵一样。无线蜜罐必须要能模拟一定的AP数据传输过程,才会吸引攻击者的注意。但是对于攻击者来说,在入侵之前也会判断目标是否为真正的AP。因此在蜜罐设计中需要配置适当的真实信息,还要像真正的AP一样,利用一些安全措施加以保护。不过,这样做又无形中给记录攻击信息设置了障碍。另外一点,就是要在蜜罐上配置相应的处于监控状态的无线客户端,难度在于需要在隐藏自己的同时,又能实现对攻击信息的捕捉记录。 也就是说,无线蜜罐既要给攻击者留有一定的安全漏洞,又要保证后台的正常记录。要同时保证这两点功能,需要根据用户的需求对无线蜜罐进行精心设计。
应用须谨慎
目前,很多无线安全技术人员将蜜罐技术集成在各类产品中,比如在一些企业级无线防火墙和Wi-Fi安全解决方案里面,都会有较为全面的探测和识别授权AP的功能。
不过,无线蜜罐技术也是存在一定风险的,它毕竟是一个可被入侵的无线系统,一旦被攻击者识破,可能会造成严重的后果。比如攻击无线蜜罐中的服务器进而破坏系统;利用无线蜜罐攻击第三方;提供虚假数据欺骗管理员等问题。当然,也正是因为有这些风险的存在,