云南龙网

  1. 首页 > 云知道 > >

了解你的敌人:了解VMware( 三 )

云知道



host #ls -l /root/vmware

total 28

drwxr-xr-x2 rootroot 4096 Oct 10 01:10 linux-6.2

drwxr-xr-x2 rootroot 4096 Jan 14 19:00 linux-7.2

drwxr-xr-x2 rootroot 4096 Jan 14 22:14 linux-7.3

drwxr-xr-x2 rootroot 4096 Jan 25 15:15 openbsd

drwxr-xr-x2 rootroot 4096 Jan 25 15:15 solaris

drwxr-xr-x2 rootroot 4096 Dec 16 08:47 win2000Serv

drwxr-xr-x2 rootroot 4096 Jan 25 15:15 winXPPro

host #

host #cp -a /root/vmware /root/vmware-backup

Part III: 数据控制

完成VMware和honeypots配置后的下一步就是数据控制了 。数据控制的目的就是要获得攻击者进出Honeynet的一切信息 。特别的 , 我们允许所有进入Honeynet系统的数据 , 但是限制对外的连接 。鉴于这篇文章的目的 , 我们将使用IPTables这种Linux自带的开放源代码的防火墙来解决此问题 。IPTables是一种灵活性相当高的正式的防火墙 , 有连接限制 , 网络地址转换 , 日志记录的功能 , 和许多其他的特性 。我们把IPTables配置成我们HostOS上的过滤器 , 计算流出网络的数据报 。一旦对向外的连接到达了限制的数量 , 之后所有的连接尝试都会被阻止 , 保证被入侵的honeypot不会对其他系统造成损害 。配置和实现这些性能可能会非常复杂 。但是 , Honeynet Project编写了一个称作rc.firewall的IPTables脚本 , 它可以帮助你完成所有的工作 。你仅仅需要修改脚本变量使它适应你的Honeynet , 然后运行脚本 。

你首先要决定的一件事是 , 你想使网关运行在第三层的路由模式 , 还是第二层的网桥模式 。第二层网桥模式(也叫做GenII, 或者2nd generation)是首选的方法 。当网关扮演网桥的角色时 , 就没有数据报路由和数据报的TTL消耗 , 它成为一个不可见的过滤设备 , 使攻击者更难发觉 。但是 , 要想使IPTables工作在网桥模式 , 你的内核必须打补丁来支持它 。默认情况下 , 绝大多数内核都不支持IPTables的网桥模式 。Red Hat内核2.4.18-3是少数几个默认情况下支持这种模式的内核之一 。如果你想修改内核 , 你可以在http://bridge.sourceforge.net/download.html找到补丁 。考虑到这篇文章的目的 , 我们将假设你的内核确实支持IPTables的网桥模式 。如果你的内核不支持网桥模式 , 请查阅文章KYE: UML获取关于配置rc.firewall来支持第三层路由的更多信息 。

现在 , 让我们来详细讲述怎样配置rc.firewall脚本来实现GenII的功能 。有两个地方需要配置 , 网络和控制 。实际上 , 网络在网桥模式中远比在路由模式中简单 。在网桥模式中 , 没有路由 , 或者任何网络地址转换问题 。我们只需简单的把HostOS变成网桥 , GuestOS’s就可以直接和其他网络通讯了 。针对连接问题 , 我们需要配置允许多少对外连接 。我们需要配置的选项如下 。首先 , 你需要设置Guest操作系统的对外IP地址 。这些是攻击者要攻击的IP地址 , 是我们honeypots的有效IP地址 。既然我们有五个honeypots , 我们需要列出五个IP地址 。防火墙需要知道它们的范围 。

PUBLIC_IP="10.10.10.201 10.10.10.202 10.10.10.203 10.10.10.204 10.10.10.205"

其次 , 你要识别HostOS的内部接口的名字 。默认情况是eth1 。但是 , 我们将使用虚拟接口vmnet1 , 需要修改这个变量 。

LAN_IFACE="vmnet1"

最后 , 既然我们要搭建一个GenII Honeynet , 你必须考虑尽量使用Snort自带的功能阻止已知的向外的攻击 。描述Snort-Inline的细节已经超过了这篇文章的范畴 , 它将在以后的文章Know Your Enemy: GenII Honeynet 中讨论 。你可能会考虑使用Honeynet Snort-Inline工具包 , 它有静态的 , 编译好了的二进制文件 , 有配置文件 , 规则库和文档 , 你可以在Honeynet Tools section找到Snort-Inline工具包 。如果你确实想测试这个性能 , 你需要启用QUEUE选项 。注意:如果你启用了这个选项 , 你必须保证已经运行了Snort-Inline , 否者所有外出的数据报都会被丢弃 。如果没有作到以上要求 , 请不要启用这个特性 。

推荐阅读


上一篇:哪些菜适合用黄油炒

下一篇:纽西之谜睡眠面膜会过敏吗 纽西之谜睡眠面膜敷多久