目录
一、读者对象 (3)
二、术语介绍 (3)
三、先决条件 (3)
四、什么是虚拟Honeynet (3)
五、虚拟Honeynet与物理Honeynet的区别 (3)
六、虚拟Honeynet的分类 (3)
七、虚拟Honeynet的优缺点 (4)
八、基于Vmware Workstation的虚拟Honeynet的部署实例 (5)
1、Vmware Workstation上的网络连接方式 (5)
2、部署实例 (6)
九、参考资料 (13)
修订日志
修订日期修订者修改内容备注2005-3-16 吴智发初版
一、读者对象
本文的对象是那些希望利用有限的硬件资源来部署虚拟Honeynet平台但又没部署过虚拟Honeynet的所有人员。
二、术语介绍
主系统:指运行虚拟软件的操作系统。
客户系统:指运行在虚拟软件里面的操作系统。
三、先决条件
在阅读本文前,请先阅读Know Your Enemy: Honeynets,Know Your Enemy: GenII Honeynets,对Honeynets的概念和第二代Honeynet (Gen2)技术有个清晰的认识,并完全了解Gen2的部署软/硬件要求。
四、什么是虚拟Honeynet
按照Honeynet组织的说法:虚拟Honeynet是一种可让你在单一的机器上运行所有东西的解决方案。
之所以称为虚拟是因为运行在机器上的各个操作系统看起来与运行在单独一台机器上的抄做系统并没有什么外观上的区别。
五、虚拟Honeynet与物理Honeynet的区别
从概念上,我们可以很容易的辨别虚拟Honeynet与物理Honeynet的区别。
对于虚拟Honeynet来说,如果我们愿意,我们可以把Honeywall、Honeypots、Data Center都部署在同一台机器上。
而对于物理Honeynet,Honeynet的各个部分一般都独立的运行在自己的机器上。
六、虚拟Honeynet的分类
这里从如何安排与安装各个组成部分的角度来考虑,把虚拟Honeynet分成两类:
z自包含虚拟Honeynet(Self-Contained Honeynet):这种类别的Honeynet
把它的各个组成部分都安装在单一的一台机器上。
z混合虚拟Honeynet(Hybrid Honeynet):这种类别的Honeynet并不局限与一台机器,而是把它的组成部分分开在多台机器上部署。
七、虚拟Honeynet的优缺点
虚拟Honeynet的优点是:
z由于整个Honeynet (包括Honeywall、Honeypots、Data Center)可以部署在一台机器上,可以大大的减少费用,只要足够大的内存与虚拟软件的
支持,我们可以在一台机器上安装任意多的操作系统。
z由于只有一台机器,如果我们部署在一台笔记本电脑上,那我们可以把整个Honeynet平台随身携带,在任何地方都可以运行这个平台而不用从
新安装整个平台。
z由于我们可以把所有的系统都安装在同一台机器上,我们可以很方便的管理整个Honeynet平台。
当然,在我们享受这些优点的时候,我们必须因为它的缺点而承受一些风险:z实际上,现在的机器(在此我们仅限于PC机),其主板支持的内存基本上不超过2G,我们无法像物理Honeynet一样部署任意多的Honeypot。
z几乎所有的虚拟软件并不全部支持现有的各种操作系统,我们只能安装有限的抄做系统。
z如果整个Honeynet平台都运行在虚拟软件中,而这个虚拟软件由于自身原因崩溃或者遭到攻击者的破坏,那整个虚拟Honeynet将无法运行。
z运行在虚拟软件上的操作系统会留下很明显的指纹,很容易让攻击者识破。
八、基于Vmware Workstation的虚拟Honeynet的部署实例
由于虚拟Honeynet在表现上与物理Honeynet并无二致,所以对于测试,我们并不进行介绍,这里介绍的是自包含虚拟Honeynet的安装,关于测试,可以参阅我们的另外一个文档或者Honeynet组织的相关文档。
1、Vmware Workstation上的网络连接方式
运行在Vmware Workstaion(下面简称Vmware)上的操作系统的网络连接方式有三种:
z桥接方式(Bridge):在桥接方式下,Vmware模拟一个虚拟的网卡给客户系统,主系统对于客户系统来说相当于是一个桥接器。
客户系统好像
是有自己的网卡一样,自己直接连上网络,也就是说客户系统对于外部
直接可见。
z网络地址转换方式(NAT):在这种方式下,客户系统不能自己连接网络,而必须通过主系统对所有进出网络的客户系统收发的数据包做地址转
换。
在这种方式下,客户系统对于外部不可见。
z主机方式(Host-Only):在这种方式下,主系统模拟一个虚拟的交换机,所有的客户系统通过这个交换机进出网络。
在这种方式下,如果主系统
是用公网IP连接Internet,那客户系统只能用私有IP。
但是如果我们另
外安装一个系统通过桥接方式连接Internet(这时这个系统成为一个桥接
器),则我们可以设置这些客户系统的IP为公网IP,直接从这个虚拟的
桥接器连接Internet,下面将会看到,我们正是通过这种方式来搭建我们
的自包含的虚拟Honeynet的。
2、部署实例
我们这里演示的是Honeynet 第二代的安装设置,由于在安装虚拟Honeynet 时,除了对Vmware的配置外,别的都与物理Honeynet安装一样,所以我们这里并不介绍各个Honetpot和Honeywall CDROM等部分的安装,关于具体各个部分的安装,请参考我们的另一个文档与其他相关资料。
下面是部署基于Vmware的Honeynet的软硬件要求:
软件:
z Vmware Workstation 4.2.5-8848 for Linux;
z Honeywall CDROM;
硬件:
z P4/1024M/40G/Intel eepro1000
1)、安装Vmware Workstation
首先安装Vmware Workstation,安装Vmware不需要做任何修改,只需要按默认的方式安装即可。
2)安装Honeywall CDROM
从File菜单New 一个Virutal Machine,选了Custom安装方式,如下图:
选择2.4内核:
设定内存大小,最好不要少于256M:
选择网络连接方式,这里选择Bridge桥接方式,这个虚拟的网卡将连接外部网络,即充当eth0:
选择I/O适配器类型:
选择安装方式,这里选择Create a new virtual disk:
选择虚拟磁盘类型,由于Honeywall CDROM只支持IDE,故这里选择IDE 类型:
3)配置Honeywall网络
由于我们在前面的安装中已经有了eth0,现在需要另外两个网卡,一个连接内部网络Honeypots-eth1,另一个连接管理机-eth2。
在左边的Favoriates里面选择Honeywall系统,按鼠标右键选择Edit,将出现该虚拟机的配置面板,在Hardware标签下面选择Add,添加一个虚拟网卡,在Use virtual device里选择viance,而不要选择vmxnet,如果选择vmxnet的话,在安装的时候系统将认不到这个网卡,在Network connection里选择Custom方式,并选择/dev/vmnet1,这个虚拟网卡即是连接Honeypots的eth1:
然后在添加另外一个网卡,对于Use virtual device也选择viance,Network connection选择Custom方式的/dev/vmnet0,这个网卡即是连接管理机的eth2:
至此,Honeywall的网络配置已经完成,接下来的可以安装CDROM了,在启动虚拟机后,按F2进去BIOS,启动方式选择从CDROM启动,剩下的安装
与物理Honeynet的安装一摸一样,所以这里不再赘述。
4)、安装Honeypots
安装Honeypots时,记得选择网络连接方式为:
z Use virtual device选择viance;
z Network connection选择Custom的/dev/vmnet0。
5)、整个虚拟Honeynet的网络连接如这里所示:
九、参考资料
1)、Know Your Enemy: Honeynets;
2)、Know Your Enemy: GenII Honeynets;
3)、Know Your Enemy: Defining Virtual Honeynets;
4)、Virtual Honeynet: Deploying Honeywall using VMware;
5)、Vmware Workstation Document。