基于第三代蜜罐网关ROO,简单搭建攻防网络环境。
2015-06-13 14:06
405 查看
课程需要搭建网络攻防环境,在过程中,总结问题,并进行解决,现将经验总结如下。
蜜罐网关概述
蜜网网关的目的是搜集安全威胁的信息,以发现新的入侵工具、测定攻击模式、研究攻击者的动机,利用Honeynet搜集的信息可以更好地理解和对付来自内部和外部的威胁。它通过构造一个有着明显安全漏洞的系统来引诱入侵者对其进行攻击,让攻击者将时间和精力都费在蜜网中,从而使他们远离真正的网络。蜜网技术提供了一套完整的、能够发现并深入分析网络安全威胁的体系框架,并具备了许多主动安全防御的特性,如能够消耗攻击者的时间,获得黑客攻击的新手段,降低真实主机受到攻击的可能性等。蜜网技术作为一种新的比较完善的研究黑客行为的工具,必将得到充分的发展和使用,其应用前景也将会越来越广阔。ToolVmware 10注 虚拟网关:System:roo-1.4.hw-20090425114542(其中已集成Snort网络入侵检测系统,p0f操作系统识别工具,Sebek:够捕获的系统行为包括攻击进程树、 进程关联的网络流、 进程打开或读写的文件、 进程执行的命令以及 Shell进程产生的键击记录等。)
靶机:选择相应主机操作系统一切工作准备完后进下如下操作安装蜜网网关虚拟机按以下步骤安装蜜网网关虚拟机:1)新建虚拟机,选择Custom安装2)选择蜜网网关虚拟机的操作系统类型为Linux,版本为Red Hat Linux3)将蜜网网关虚拟机命名为HoneyWall,并保存路径。4)设置蜜网网关虚拟硬件,如处理器个数,内存大小,磁盘容量等。5)设置网络连接方式,选择为桥模式。6)设置虚拟硬盘接口类型,SCSI接口选择为BusLogic。7)设置虚拟硬盘为IDE硬盘。8)设置虚拟硬盘大小为20G,选取无需立即分配全部空间选项。9)指定虚拟硬盘文件的绝对路径,注意必须给出全绝对路径。10) 为HoneyWall再添加两块网卡,其中Ethernet 2设为Host-only,Ethernet3设为Bridged为桥模式11)设置CDROM为蜜网网关roo-1.4.hw软件ISO。
12)点击确定后,给HoneyWall加电源启动蜜网网关虚拟机,进入安装界面(如下图3-2)所示
图3-2 蜜网网关软件安装界面 13)蜜网网关软件安装完毕,进入登录界面(如图3-3)。
图3-3 登陆界面
192.168.100.0/24(这里是你配置密网的网段)
4)蜜网网关管理配置:回到蜜网网关配置主界面,选择4 HoneyWall Configuration,接着选择2 Remote Management,再选择1 Management IP Address,设置管理口的IP地址为192.168.100.150;接着选择2 Management Netmask :输入255.255.255.0;选择3 ManagementGateway,输入192.168.100.1(根据你所处网络部署网关);选择6 ManagementDNSServers,输入61.134.1.4;选择7 Manager,设置可以管理蜜网网关的网段为192.168.100.0/24
5)Sebek服务器端配置:返回蜜网网关配置主界面,选择4 HoneyWallConfiguration,选择11 Sebek目标端口选择为1101,Sebek数据包处理选项选择为Drop。
部署完后,主机进行测试
配置管理主机(一定要跟之前配置的管理网段相符),直接进入浏览器,输入https://192.168.100.150
配置如下。
帐号:roo
密码:honey(第一次登录时要提示你改密码,密码复杂度为大小字母+数字+特殊符号否则无法修改)
登录后图如下:
接着开始配置蜜罐主机
1、虚拟主机网卡要配置成Hostonly 模式,否则无法进行数据审计
配置完后要手动将IP地址改成第一步部署时的蜜罐主机IP,并且子网掩码一定要保持一致
2、安装sebek软件,就我目前测试3.04的版本可以,但是官方给出的地址是3.05。估计是名字起错了也没改正。
下载地址如下:http://projects.honeynet.org/sebek 选择3.05 下载即可、
3、windows 下安装。
解压安装包后安装步骤如下
安装setup.exe
执行Configuration Wizard.exe
配置config工具
这里的destination 为蜜罐网关eth2的mac地址,进入蜜罐网关主机内输入ifconfig eth2 查看即可。
重启
进入web网页内查看主机会发现有蜜罐主机,如果无的话可进入蜜罐主机内查看service hflowd status 状态信息,若关闭则启动即可。
对蜜罐主机做相应的测试,
具体审计如下:
蜜罐网关概述
蜜网网关的目的是搜集安全威胁的信息,以发现新的入侵工具、测定攻击模式、研究攻击者的动机,利用Honeynet搜集的信息可以更好地理解和对付来自内部和外部的威胁。它通过构造一个有着明显安全漏洞的系统来引诱入侵者对其进行攻击,让攻击者将时间和精力都费在蜜网中,从而使他们远离真正的网络。蜜网技术提供了一套完整的、能够发现并深入分析网络安全威胁的体系框架,并具备了许多主动安全防御的特性,如能够消耗攻击者的时间,获得黑客攻击的新手段,降低真实主机受到攻击的可能性等。蜜网技术作为一种新的比较完善的研究黑客行为的工具,必将得到充分的发展和使用,其应用前景也将会越来越广阔。ToolVmware 10注 虚拟网关:System:roo-1.4.hw-20090425114542(其中已集成Snort网络入侵检测系统,p0f操作系统识别工具,Sebek:够捕获的系统行为包括攻击进程树、 进程关联的网络流、 进程打开或读写的文件、 进程执行的命令以及 Shell进程产生的键击记录等。)
靶机:选择相应主机操作系统一切工作准备完后进下如下操作安装蜜网网关虚拟机按以下步骤安装蜜网网关虚拟机:1)新建虚拟机,选择Custom安装2)选择蜜网网关虚拟机的操作系统类型为Linux,版本为Red Hat Linux3)将蜜网网关虚拟机命名为HoneyWall,并保存路径。4)设置蜜网网关虚拟硬件,如处理器个数,内存大小,磁盘容量等。5)设置网络连接方式,选择为桥模式。6)设置虚拟硬盘接口类型,SCSI接口选择为BusLogic。7)设置虚拟硬盘为IDE硬盘。8)设置虚拟硬盘大小为20G,选取无需立即分配全部空间选项。9)指定虚拟硬盘文件的绝对路径,注意必须给出全绝对路径。10) 为HoneyWall再添加两块网卡,其中Ethernet 2设为Host-only,Ethernet3设为Bridged为桥模式11)设置CDROM为蜜网网关roo-1.4.hw软件ISO。
12)点击确定后,给HoneyWall加电源启动蜜网网关虚拟机,进入安装界面(如下图3-2)所示
图3-2 蜜网网关软件安装界面 13)蜜网网关软件安装完毕,进入登录界面(如图3-3)。
图3-3 登陆界面
配置蜜网网关虚拟机
1) 由上图(3-3)登录蜜网网关以roo/honey缺省用户/口令登录,使用su - 提升到root帐号,缺省口令也为honey。2)蜜网网关初始配置:蜜网网关配置菜单选项界面,选择4 HoneywallConfiguration进行;对The Honeynet Project的不承担风险声明选择Yes。然后选择Defaults配置方式。 3)蜜罐信息配置:命令行menu进入蜜网网关配置界面,选择4 HoneyWallConfiguration;选择1 Mode and IP Information;选择2 Honeypot IP Address。蜜罐IP信息配置,空格分隔多个IP地址。然后再选择5 LAN Broadcast Address ,配置蜜网网段的广播IP地址。再选择6 LAN CIDR Prefix,蜜网网段配置,CIDR格式192.168.100.0/24(这里是你配置密网的网段)
4)蜜网网关管理配置:回到蜜网网关配置主界面,选择4 HoneyWall Configuration,接着选择2 Remote Management,再选择1 Management IP Address,设置管理口的IP地址为192.168.100.150;接着选择2 Management Netmask :输入255.255.255.0;选择3 ManagementGateway,输入192.168.100.1(根据你所处网络部署网关);选择6 ManagementDNSServers,输入61.134.1.4;选择7 Manager,设置可以管理蜜网网关的网段为192.168.100.0/24
5)Sebek服务器端配置:返回蜜网网关配置主界面,选择4 HoneyWallConfiguration,选择11 Sebek目标端口选择为1101,Sebek数据包处理选项选择为Drop。
部署完后,主机进行测试
配置管理主机(一定要跟之前配置的管理网段相符),直接进入浏览器,输入https://192.168.100.150
配置如下。
帐号:roo
密码:honey(第一次登录时要提示你改密码,密码复杂度为大小字母+数字+特殊符号否则无法修改)
登录后图如下:
接着开始配置蜜罐主机
1、虚拟主机网卡要配置成Hostonly 模式,否则无法进行数据审计
配置完后要手动将IP地址改成第一步部署时的蜜罐主机IP,并且子网掩码一定要保持一致
2、安装sebek软件,就我目前测试3.04的版本可以,但是官方给出的地址是3.05。估计是名字起错了也没改正。
下载地址如下:http://projects.honeynet.org/sebek 选择3.05 下载即可、
3、windows 下安装。
解压安装包后安装步骤如下
安装setup.exe
执行Configuration Wizard.exe
配置config工具
这里的destination 为蜜罐网关eth2的mac地址,进入蜜罐网关主机内输入ifconfig eth2 查看即可。
重启
进入web网页内查看主机会发现有蜜罐主机,如果无的话可进入蜜罐主机内查看service hflowd status 状态信息,若关闭则启动即可。
对蜜罐主机做相应的测试,
具体审计如下:
相关文章推荐
- 新御剑1.5注入版(11.29)
- 80sec被黑原因分析
- 网络安全助手 - 御剑
- 突破”子网隔离”***C段
- 网上说是"最标准的SQL注入语句"
- 蜜罐技术的分析及其研究开题报告
- 转自CISPS《十年安全售前的经验与大家分享》
- 2007年世界顶级杀毒软件排名
- 玩转几大***测试系统
- 如何借助Sniffer来诊断Linux网络故障?
- 常用Linux网络安全工具
- CIO的网络安全“三大纪律”
- 国际网络信息安全认证中心
- ***常用***手段揭秘及其预防措施介绍
- netfilter/iptables全攻略
- 三星推出GALAXY S5 Active
- [转]网络安全设备Bypass功能介绍及分析 - [网络编程]
- 互联网企业网络安全架构摘录(转)
- 互联网企业网络安全架构(摘录)
- SSH:加密传输 远程管理的安全通道