據有關資料顯示,現在有大量的服務器仍在使用IIS提供Web服務,甚至有爭奪占領Apache市場的趨勢。在Web威脅日益嚴重的今天,我們當然要采用反病毒、防火牆、UTM、NAC等手段來加強網絡安全。但是,有時正確地建設一個蜜罐也是對付黑客的必需任務。
什麼是蜜罐?
簡言之,蜜罐就是一個位於互聯網上的計算機系統,其特定的目的是為了吸引並“誘捕”試圖滲透進入其他人的計算機系統的黑客。要建立一個真正的蜜罐,用戶需要做的事情很多,但至少要求用戶做到三條,一是安裝一個不打補丁的操作系統,並且需要使用默認配置,二是要保證系統上沒有任何數據,三是添加一個設計目的是記載入侵者活動的應用程序。
在IIS中配置蜜罐並不是一件件很復雜的事情,但它卻可有助於極大地減少對IIS服務器的攻擊。嚴格意義上講,本文所談論的並非一個真正的蜜罐,因為一個真正的蜜罐是一個擁有許多漏洞且故意暴露在互聯網上的主機,這裡所討論的只不過是一個數據通信的轉向器而已。使用HTTP主機的頭信息,我們完全可以將攻擊者的通信轉向一個並不存在的站點上。
黑客們會使用端口掃描器來查找那些開放著80號端口的IP地址,並對這些端口實施其攻擊和侵入的企圖。另外一方面,網站的終端用戶會使用域名來訪問站點,因此我們的措施並不會影響這些普通用戶。通過啟用網站上的主機頭名並將IP企圖重新轉向,我們就可以跟蹤和記錄黑客來自何方,同時又保持了對終端用戶的可用性。
理論上的事兒先說到這裡,下面我們開始建立一個蜜罐。
我們需要做的第一件事情就是要在Web服務器上建立一個空的目錄。其名稱與位置沒有什麼關系,對於本例而言,筆者創建了一個稱為Honeypot的目錄,它位於C:\Inetpub\wwwroot的目錄下。啟動IIS 管理程序,並為所有的站點分配一個主機頭名,這樣每一台虛擬服務器都有一個帶有IP地址的主機頭名。
這裡要保證虛擬服務器不能與無主機頭名的80號端口上的IP地址有映射關系,並保證服務器不能擁有“全部未分配的” IP尋地址。並保障主機的頭信息正確設置,用戶仍可以訪問所有的站點。
然後,再創建一個新的網站指向剛才創建的目錄。這個蜜罐網站應當指定所有未分配的IP地址,並且不能配置主機的頭信息。雖然這個站點的名稱叫“honeypot”,但這並不影響黑客對它的訪問。進入這個新網站的屬性設置界面,選擇“目錄安全”選項卡,並選中“集成windows身份驗證”,取消選擇其它的認證方法,然後單擊“確定”。
接著,選擇網站選項卡,並單擊“高級”,單擊“多網站配置”下的”添加”按鈕,並添加所有的IP地址。如果你收到了一個關於IP地址沖突的錯誤消息,不要緊,這表明你沒有為此網站設置主機頭名。你需要做的是將IP地址從列表中清除,或為此網站配置一個主機頭名。
保存所有的更改,然後退出Internet 信息服務。
這樣一來,當一個惡意用戶通過IP地址來訪問網站時,他就會被發送至空目錄,並得到一個403錯誤。而通過DNS域名來訪問網站的用戶由於有了主機的頭信息,就能夠訪問網站的內容。
這樣做並不是絕對的安全,因為黑客們仍會試圖通過域名來訪問網站,不過其多數攻擊都被發送到了IP地址。使用主機的頭信息會改善Web服務器的性能,這是因為WWW服務沒有必要為使用獨立IP地址的網站分配非頁式內在池。
還有一點,一些較低版本的浏覽器(不符合HTTP1.1規范的浏覽器)將被直接轉向空目錄,因為這種浏覽器不接受主機頭名。不過,現在這種浏覽器幾乎沒有人用了吧?
