Know Your Enemy:
Learning with VMware
用VMWARE搭建虚拟Honeynets
译者注:
原文连接:http://www.honeynet.org/papers/vmware/
虚拟Honeynets是允许您在同一台电脑上用多种操作系统搭建一个完整的Honeynet的一种解决方案。最初在文章Know Your Enemy: Virtual Honeynets中被讨论,这种方案有着配置更容易,管理更简单的长处。Honeynet Project同样也发现VMware对Honeynet技术的发展有着重大的意思。我们通过这篇文章一步一步的教您怎样用商业软件VMware搭建和配置这种解决方案。这种情况下,我们将用5种不同的honeypots搭建一个GenII(第二代Honeynets)。前提是您已阅读并且了解在KYE: Virtual Honeynets和KYE: Honeynets中讨论过的一些概念。同时,假如这是您第一次从事Honeynet技术工作,我们强烈建议您在实验环境中工作。最后,因为面对的是虚拟软件,您必须意识到攻击者识别出,并且秘密逃出虚拟环境的风险。以上是对您的建议。
攻击计划
这篇文章的格式有点类似于KYE: User-Mode Linux,他被分成5个部分。第一部分我们将描述什么是VMware,他的工作方式,连同怎样安装他。第二部分,我们将描述怎样配置VMware和安装您的honeypots。第三部分我们将描述怎样在VMware Honeynet中使用IPTables来实现数据控制。第四部分我们将描述怎样使用Snort来实现数据捕获。最后,在第五部分中我们将描述如何测试您的各种配置。
Part I: VMware
VMware是一种能够让您在同一时刻运行多种操作系统的虚拟软件。和用户模式Linux不同,VMware允许您运行不同的操作系统,只要他们是能够在Intel X86系列上运行的。VMware是由VMware Inc研发和销售的,实际上您能够选择三种不同的软件产品:Workstation, GSX, 或ESX。我们将使用三者当中的GSX。GSX是设计来在同一时刻运行两个以上的操作系统,支持远程管理的,比Workstation功能更强大的版本。但是,我们这里所讨论的大部分信息相同能够应用在Workstation上。鉴于这篇文章的目的,我们将在掌上电脑上搭建我们的虚拟Honeynet,平台为IBM Thinkpad T23, PIII 1G处理器和768MB的内存。操作系统为Red Hat 7.3。
VMware是通过在电脑上安装虚拟软件来工作的。此虚拟软件允许您在同一时刻启动和运行多个操作系统。您安装的第一个操作系统被称为HostOS。这是VMware将安装于其中的操作系统。一旦您安装了HostOS和VMware,您就能够安装其他的操作系统,他们将运行在虚拟环境中。任何这些其他的操作系统被称为GuestOS’s,因为他们就像是在主操作系统上的‘客人’。想要对其工作方式获得更好的理解,请参考Figure 1。在我们的Linux HostOS上安装VMware很简单,您仅仅需要安装一个RPM包即可。命令类似于:
host #rpm -vi VMware-gsx-2.0.1-2129.i386.rpm
Preparing packages for installation...
VMware-gsx-2.0.1-2129
我们也能够安装另外的软件包,比如说远程管理软件包。但是,我们的掌上电脑无需这个软件包,因为任何的管理都在本地完成。要了解关于这些额外包的更多信息,请参考VMware文档。
Part II: 配置VMware和安装Honeypots
安装完成后的下一步就是配置VMware软件。配置是通过执行命令’vmware-config.pl’来完成的。在配置过程中,VMware很可能会重新编译他自己的一些内核模块。这就是说您要为内核准备编译器和源代码。我们的掌上电脑上运行的内核版本是2.4.18-19.7.x。然后我们确保有源代码:
host #uname -r
2.4.18-19.7.x
host #
host #rpm -qa | grep source
kernel-source-2.4.18-19.7.x
marge $ls -l /usr/src
total 8
lrwxrwxrwx 1 root root 19 Dec 26 13:53 linux-2.4 -> linux-2.4.18-19.7.x
drwxr-xr-x 17 root root 4096 Dec 26 13:53 linux-2.4.18-19.7.x
drwxr-xr-x 7 root root 4096 Jul 12 11:52 redhat
假如您已安装了源代码,您就能够开始安装了。在安装过程中,我们要注意的唯一选择就是网络。请记住,我们的目标是使任何的GuestOS’s通过我们的网关HostOS进行路由。在安装过程中选择网络。在安装过程要结束时,您会被询问是否采用HostOnly网络模式。选择此项,给接口分派一个IP地址。这是网关的IP地址,我们将设为10.10.10.1。下面的连结是配置过程中执行的一系列命令。
vmware-config.pl
当您完成配置后,VMware就能够运行了。但是,我们有一个问题,采用默认配置时,VMware允许三种接口:vmnet0,vmnet1,vmnet8。在这三种接口中,我们只需要一种接口,vmnet1。vmnet0用于网桥,所以GuestOS能够饶过HostOS直接进行网络会话。Vmnet8用于NAT网络。只有vmnet1允许我们控制GuestOS’s经过HostOS。这样,我们还得重新运行vmware-config.pl,然后使用编辑工具,移除两种无需的接口vmnet0和vmnet8。
vmware-config.pl(第二次运行)
当您完成VMware的配置后,下一步就是安装和配置每个honeypots。就我们的Honeynet而言,我们要安装运行5种不同的honeypots。运行这么多操作系统所需的需要并不是您想象的那么高。想一想,除了攻击者之外没有人会使用他们,所以活动的系统很少。同时,以Unix为基础的系统无需GUI,您能够通过命令行接口来管理系统。这样就无需运行X-Windows,内存的需要也就达到最少了。每个操作系统也只需要不超过2GB的磁盘空间。
Red Hat Linux 8.0 (64 MB RAM, 不运行X-Windows)
Solaris8 X86 (64 MB RAM, 不运行 X-Windows)
OpenBSD 3.1 (64 MB RAM, 不运行X-Windows)
Windows2000 (128 MB RAM)
WindowsXP (128 MB RAM)
安装每个honeypots是很简单的。首先,用命令”ps aef | grep vmnet”确保vmware虚拟软件在运行,用命令”ifconfig –a”确保使用的是vmnet1接口。假如vmware已运行,创建一个新的VMware窗口来安装honeypot。命令如下:
host #vmware -G &
创建窗口后,您能够选择启动一个已存在的GuestOS或开始安装一个新的GuestOS。假如要安装新的GuestOS,请选择”运行配置向导”。在向导中选择您将要安装的GuestOS的类型,将要安装的文档系统的目录,为操作系统创建一个新的虚拟磁盘,启用CDROM(假如挂装了软驱,请卸载)和HostOnly网络。完成GuestOS的配置后,插入Guest操作系统的CDROM安装盘,然后启动系统。此后,GuestOS的启动和安装和正常安装其他操作系统相同。继续重复这些步骤安装任何这5个GuestOS honeypots。安装完成后,您能够选择在honeypots上安装VMware tools。他将解决GUI接口。但对于Unix系统来说,您无需安装VMware tools,因为您能够通过命令行来进行管理。对于基于视窗的honeypots,需要在honeypots中安装VMware tools以方便管理,但是,他将使攻击者更容易的识别出系统是Vmware虚拟系统。要获取更多关于VMware配置和GuestOS安装的信息,请参考VMware文档。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
