经过长时间学习Linux Honeywall,于是和大家分享一下,看完本文你肯定有不少收获,希望本文能教会你更多东西。主系统使用公网IP,客户系统只能使用私有IP。但是如果我们另外安装一个系统可以通过桥接的方式连接Internet(这个系统就成为一个桥接器),则我们可以设置置这些客户系统的IP 为公网IP,直接从这个虚拟的桥接器连接Internet,下面将会看到,我们正是通过这种方式来搭建我们的自包含的虚拟Honeynet 的。(摘自《基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析》)
在看了北大的密网的很多相关的论文和翻译的文章后,我决定在自己的笔记本上面通过Vmware 来构建一个Honeynet。准备工作:笔记本:Dell D620 T5600/2G RAM/ 80G/GF7300所需软件:
Vmware workstation Roo Sebek Windows Server 2003
平台:Windows XP SP2
步骤:
1. 首先安装VMware workstation 在主机上,然后按照默认的设置运行一遍vmware-config.pl。确认使用bridge 和 Hostonly的vmnet的编号。
2. 启动VMWARE,创建一个新的VM。在创建过程中需要注意的几点是:硬盘的格式需要选择为IDE的,否则无法识别。然后就是一定要创建3块网卡,这样才能实现Walleye的WEB的接口。我们设定eth0为bridge(桥接)方式,然后eth1为hostonly的方式,设定eth2为bridge的方式。
3. 这个时候设定cdrom为指定的ISO文件,我们把roo的镜像文件挂载到VM上,然后启动VM。这个时候只需要安一下回车就可以了。Roo的安装是完全自动话的。等过了十几分钟后就会出现一个让你登录的界面。
4. Linux Honeywall默认的用户名是roo,密码为honey。登录后使用$su – 切换到root用户。当然,别忘了把你的密码改为一个比较复杂的密码。第一次登录Linux Honeywall会出先配置模式。这里面的配置就按照《基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析》上面设定的进行配置。我们设定Honeypot的IP地址为192.168.0.55 192.168.0.56(这个IP还可以自己根据自己的Honeypot的数量来进行更多的设置,由于是笔记本我就只设定2个)。但是需要说明的是由于笔记本上面只有一块网卡,所以我们将管理的IP段也设定为192.168.0.X。对于3块网卡我的IP的设定为eth0 192.168.0.51,eth1的IP为192.168.0.50,eth2的IP为192.168.0.52.这个时候记着要把eth1的IP和MAC地址记下来,以备后面使用。
5. 下面创建一个新的VM作为Honeypot,我选择的是Windows Server 2003 R2.这个只要设定一个网卡就可以了。方法就不再重复了。我们只要设定其IP为上面我们在Linux Honeywall里面设定的几个IP之一就可以了。我的做法是把他设定为192.168.0.55.这个时候安装Sebek,我下载最新的Sebek后安装后,首先运行安装,在运行configure。这里面要设定数据包的地址为192.168.0.50,然后把刚才记下来的MAC地址。这个时候把那个随机产生的Magic Value记下来,因为同一个Honeywall要求相同的Magic Value。重启系统这个时候会出现蓝屏(至少我这里是出现了,不知道是不是个别现象),再重启按F8,选择上一次可用的配置启动进入系统后Sebek还是可以起作用的。我为他启动了IIS中的WEB服务和FTP服务。
6. 下面主要默认的Linux Honeywall是没有支持Walleye的,所以应该使用root用户,输入menu来进行配置。然后依次Linux Honeywall ConfigurationRemote Management Walleye.这个时候保存退出。在hostos上用浏览器打开Https://192.168.0.52
因为是SSL加密的,所以这个时候如果不出以外的话就会出现让你确认接受的协议。点击接受后就会出现登录界面。默认的用户名为roo,密码为honey。然后会要求你重新设定密码。而且新密码要求等级很高,必须包含字母的大小写和数字以及特殊字符。设定好后就基本完成了在笔记本上的Honeynet的配置。至于Walleye的使用和介绍,请参看《Roo技术报告》。这样就完成了,下面要做的就是进行测试了。、
主要参看文献:
基于Vmware的第三代虚拟Honeynet部署以及攻击实例分析Learning with VMware roo_cdrom_user_manual Roo技术报告这些文献都可以从http://www.icst.pku.edu.cn/honeynetweb/honeynetcn/ 上获取,如果你需要还可以加入他们的邮件列表(开始是讨论技术的,现在不知道为什么总有人发广告,很不好)。当然官方的http://www.honeynet.org 也是不可不去的地方。以上是Linux Honeywall 虚拟介绍。
【编辑推荐】