网络安全主动防御体系之蜜罐系统部署简介

蜜罐原理
蜜罐的出现是为了解决网络攻防博弈中不对称的局面，通常网络安全设备都是主动监控并阻断攻击者的请求，而蜜罐则是另辟蹊径，通过部署没有业务用途的假诱饵，诱骗攻击者对其进行非法使用，对攻击行为进行捕获和分析，了解攻击工具与方法，推测攻击意图和动机。
如图-1 蜜罐工作原理，蜜罐系统的工作原理及常见部署方式如下：

蜜罐系统包括多种类型，通常伪装或模拟成一个正常的服务、应用或系统等，等待攻击者攻击；

通过增加多个探点，达到隐藏真实服务器，增加被攻击发现的概率。

蜜罐系统接收到攻击者请求，基于请求进行数据捕获，包括网络流量，请求头部信息，同时蜜罐系统还可能对攻击者进行响应，响应诱导型的信息输入表格，或信息收集型脚本语言；

对攻击者攻击行为进行分析并提供有价值的攻击报告，包括攻击来源、攻击意图、攻击过程等。
F5 在蜜罐建设方面的能力
F5 作为成熟的负载均衡产品已经广泛部署于各金融机构各个网络区域，很多人其实不知道F5也可以作为蜜罐使用。F5负载均衡具备以下几个特性：

可编程性 - F5 设备的可编程性可以使蜜罐安全的业务专家和技术专员有力结合，业务专家的需求技术专家可以迅速实现并应有与设备；基于这种可编程性，F5 无需依靠后端蜜罐系统，仅在代理层即可以迅速构建 TCP 蜜罐、Web 蜜罐、URL 蜜罐等。

高速日志吞吐 - 面对企业内部多个蜜罐设备系统，F5 通过其强大的声明式的信息收集方式，确保对每一个攻击者的进行实时数据捕获，达到收集攻击流量，研究攻击行为、了解攻击意图和提取攻击特征等目的。
TCP简单蜜罐
TCP简单蜜罐主要用于快速部署增加蜜罐探点，其特点是部署快，范围广，用于快速发现攻击者，定位失陷主机。

TCP简单蜜罐只关注TCP层扫描信息，可以由SYN包触发蜜罐告警，其部署通常分两个步骤：

编写IRULES脚本，从SYN包中提取TCP包头信息，包括源目的IP，源目的端口，并将信息通过日志发送到日志服务器上。

将网段中未使用的地址建立为代理模式的虚拟服务，端口可随意定制，关联上IRULES脚本即可。

TCP简单蜜罐无法分析攻击者行为，进行溯源，但是其成本低（针对已经部署了F5设备），部署简单，可以让企业快速具备大量的蜜罐，发现潜伏在内网的攻击者。
低交互型蜜罐
近年来，一些开源分布式系统（分布式 No-SQL 数据库、分布式搜索引擎、分布式消息系统）已在银行 IT 架构中大量使用，这类系统在安全方面比较薄弱，为满足开发者的习惯，这类系统默认都可以匿名登录，并对数据做增删改查，围绕着这些系统的攻击层出不穷，F5 构建低交互型蜜罐可增强企业在这方面的防护。低交互蜜罐的构建分两个步骤：

iRulesLX Node.js 编程，模拟一个 TCP 服务，例如数据库登录交互命令，通过这些命令使攻击者能够和蜜罐交互，已达到信息收集的目的；

F5 设备上创建类型为 Performance(L4) 的虚拟服务器，关联蜜罐，启动监听端口，以确保攻击者可以访问服务。

如下图，F5 设备上创建了名为extranet_app1_vs的虚拟服务器，关联着 iRulesLX Node.js 编写的 TCP 服务，TCP 服务模拟 Mongo 数据库的登录命令行操作，虚拟服务器监听在 MongoDB 默认 27017 端口。!
如图-3 构建 TCP 蜜罐所示，攻击者访问 TCP 蜜罐的过程如下：

1,攻击者访问 TCP 蜜罐，通过 Mongo 的连接客户端，基于默认的 MongoDB 端口和 extranet_app1_vs建立连接

2,extranet_app1_vs接收到攻击者的信息后会对攻击者信息进行记录转发到外部系统，同时 TCP 蜜罐服务会响应攻击者的请求，返回仿真的 MongoDB 登录命令行；

3,攻击者基于 TCP 连接的一些交互信息通过extranet_app1_vs被 TCP 服务蜜罐接收，接收到信息同样会被记录转发到外部系统；

低交互蜜罐可以与攻击者实现简单的交互，具备一定的迷惑性，可以在攻击者不知不觉中发现收集到攻击者的信息。
URL蜜罐
URL蜜罐通常部署在真正的应用系统之上，针对攻击者目录扫描的行为，伪装为一个子目录，从而引诱攻击者对虚假的目录进行攻击。F5可以通过IRULES识别URL中目录的关键字，将正常的流量引入后端服务器，异常的目录访问流量引入蜜罐中实现攻击发现。

我们甚至可以通过F5向网站正常的页面中插入隐藏的蜜罐URL链接，将利用爬虫收集外链的攻击者引入其他互联网蜜罐，形成主动蜜罐引流。
蜜罐引流
从蜜罐的原理可以知道，蜜罐主要是通过被动方式发现攻击者攻击，随着蜜罐系统的种类的增加，分布式引流器和蜜罐的使用会变得越来越重要。

如上图所示，蜜罐探点起到引流作用。有些虚拟服务器后面没有蜜罐系统，利用前面所讨论的可编程性等能力直接构建业务所需的不同类型蜜罐。通过采取多种部署方式、多种协议支持、多种可选配置项、灵活组网方式等，可加速优化蜜罐的整体实施部署。
蜜罐日志的实时分析
除了构建不同类型的蜜罐外，F5 设备具有将收集到的攻击者行为信息实时与外部系统对接的能力。支持对接的外部系统包括Splunk, Kafka, ElasticSearch, 等。
如上图所示，F5 设备可以对接不同外部系统，将收集到的攻击者信息实时发送。具体来说这一过程是通过 F5 的高速日志模块所实现。基于该模块可以对要收集的日志信息进行声明式配置，具体可定制要收集的信息的种类和数量，可以基于某一个虚拟服务器，或某一个 F5 模块，或者系统日志去收集信息。
总结
互联网技术依然发展迅猛，物联网、5G、人工智能等的正在大力普及，根据 IDC 的预测，到 2025 年物联网设备会增加 5 倍，届时业务的入口将摆脱现在以手机客户端、浏览器为主的模式，更多的物联网设备也会是业务入口的主力，5G 的落地会极大的提高流量下行和上行的速度，这意味着数量和类型更多的安全威胁。可以预见，未来蜜罐技术及蜜罐设备对一个企业或组织来说会变得越来越重要。

在安全防护方面，面对未来新技术的发展催生攻击者形式变化，以蜜罐为代表的对称型，主动防御诱捕攻击行为的技术会得到重视和加强。未来会有更多类型的蜜罐出现，蜜罐部署的方式也会日趋复杂，企业需要通过人才的储备，技术的与时俱进，对新技术催生新场景能够细化模拟来增强对攻击者的感知能力，对攻击者行为分析、溯源，最终实现主动防御，改变网络攻防博弈不对称局面。