深入講解Linux Honeywall虛擬
經過長時間學習Linux Honeywall,于是和大家分享一下,看完本文你肯定有不少收獲,希望本文能教會你更多東西。主系統使用公網IP,客戶系統只能使用私有IP。但是如果我們另外安裝一個系統可以通過橋接的方式連接Internet(這個系統就成為一個橋接器),則我們可以設置置這些客戶系統的IP 為公網IP,直接從這個虛擬的橋接器連接Internet,下面將會看到,我們正是通過這種方式來搭建我們的自包含的虛擬Honeynet 的。(摘自《基于Vmware的第三代虛擬Honeynet部署以及攻擊實例分析》)
在看了北大的密網的很多相關的論文和翻譯的文章后,我決定在自己的筆記本上面通過Vmware 來構建一個Honeynet。準備工作:筆記本:Dell D620 T5600/2G RAM/ 80G/GF7300所需軟件:
Vmware workstation Roo Sebek Windows Server 2003
平臺:Windows XP SP2
步驟:
1. 首先安裝VMware workstation 在主機上,然后按照默認的設置運行一遍vmware-config.pl。確認使用bridge 和 Hostonly的vmnet的編號。
2. 啟動VMWARE,創建一個新的VM。在創建過程中需要注意的幾點是:硬盤的格式需要選擇為IDE的,否則無法識別。然后就是一定要創建3塊網卡,這樣才能實現Walleye的WEB的接口。我們設定eth0為bridge(橋接)方式,然后eth1為hostonly的方式,設定eth2為bridge的方式。
3. 這個時候設定cdrom為指定的ISO文件,我們把roo的鏡像文件掛載到VM上,然后啟動VM。這個時候只需要安一下回車就可以了。Roo的安裝是完全自動話的。等過了十幾分鐘后就會出現一個讓你登錄的界面。
4. Linux Honeywall默認的用戶名是roo,密碼為honey。登錄后使用$su – 切換到root用戶。當然,別忘了把你的密碼改為一個比較復雜的密碼。第一次登錄Linux Honeywall會出先配置模式。這里面的配置就按照《基于Vmware的第三代虛擬Honeynet部署以及攻擊實例分析》上面設定的進行配置。我們設定Honeypot的IP地址為192.168.0.55 192.168.0.56(這個IP還可以自己根據自己的Honeypot的數量來進行更多的設置,由于是筆記本我就只設定2個)。但是需要說明的是由于筆記本上面只有一塊網卡,所以我們將管理的IP段也設定為192.168.0.X。對于3塊網卡我的IP的設定為eth0 192.168.0.51,eth1的IP為192.168.0.50,eth2的IP為192.168.0.52.這個時候記著要把eth1的IP和MAC地址記下來,以備后面使用。
5. 下面創建一個新的VM作為Honeypot,我選擇的是Windows Server 2003 R2.這個只要設定一個網卡就可以了。方法就不再重復了。我們只要設定其IP為上面我們在Linux Honeywall里面設定的幾個IP之一就可以了。我的做法是把他設定為192.168.0.55.這個時候安裝Sebek,我下載最新的Sebek后安裝后,首先運行安裝,在運行configure。這里面要設定數據包的地址為192.168.0.50,然后把剛才記下來的MAC地址。這個時候把那個隨機產生的Magic Value記下來,因為同一個Honeywall要求相同的Magic Value。重啟系統這個時候會出現藍屏(至少我這里是出現了,不知道是不是個別現象),再重啟按F8,選擇上一次可用的配置啟動進入系統后Sebek還是可以起作用的。我為他啟動了IIS中的WEB服務和FTP服務。
6. 下面主要默認的Linux Honeywall是沒有支持Walleye的,所以應該使用root用戶,輸入menu來進行配置。然后依次Linux Honeywall ConfigurationRemote Management Walleye.這個時候保存退出。在hostos上用瀏覽器打開Https://192.168.0.52
因為是SSL加密的,所以這個時候如果不出以外的話就會出現讓你確認接受的協議。點擊接受后就會出現登錄界面。默認的用戶名為roo,密碼為honey。然后會要求你重新設定密碼。而且新密碼要求等級很高,必須包含字母的大小寫和數字以及特殊字符。設定好后就基本完成了在筆記本上的Honeynet的配置。至于Walleye的使用和介紹,請參看《Roo技術報告》。這樣就完成了,下面要做的就是進行測試了。、
主要參看文獻:
基于Vmware的第三代虛擬Honeynet部署以及攻擊實例分析Learning with VMware roo_cdrom_user_manual Roo技術報告這些文獻都可以從http://www.icst.pku.edu.cn/honeynetweb/honeynetcn/ 上獲取,如果你需要還可以加入他們的郵件列表(開始是討論技術的,現在不知道為什么總有人發廣告,很不好)。當然官方的http://www.honeynet.org 也是不可不去的地方。以上是Linux Honeywall 虛擬介紹。
【編輯推薦】
