一种基于以太网桥规则的防跳板机的通用方法

技术领域

本发明涉及网络信息安全技术领域，具体涉及一种基于以太网桥规则的防跳板机的通用方法。

背景技术

现有的技术中，防跳板方式是通过在整体业务范围增加一个防火墙,或者通过每个蜜罐自身配置防火墙进行防跳板防护。然而，在整体业务范围增加防火墙，容易影响已有的业务功能，不利于机动配置。如果使用蜜罐自身配置防火墙进行防跳板，容易在攻击者获得超级管理员权限之后，修改自身防跳板，使其失效。

发明内容

发明目的：本发明的目的在于针对现有技术的不足，提供一种基于以太网桥规则的防跳板机的通用方法，通过限制与允许端口流量的操作，使得蜜罐可以独立于真实业务，解决了宿主机直接对桥接的蜜罐进行流量限制的问题。

本发明公开的一种基于以太网桥规则的防跳板机的通用方法，其特征在于，包括以下步骤：

步骤1：将多vlan部署的蜜罐桥接在Linux宿主机上，使所有流向目的为蜜罐的网络流量均通过Linux宿主机进行转发；

步骤2：采用以太网桥过滤数据包的配置方式，当数据包行进到数据链路层时，利用Linux内核中对数据链路层流量过滤数据包的配置工具ebtables，配置过滤数据包的规则，系统检测对应节点的过滤规则并进行过滤；

步骤3：配置后，当数据包发送到Linux宿主机时，Linux宿主机检测处理该数据包的过滤规则并且进行过滤；

步骤4：当攻击者攻击蜜罐时，利用ebtables对FORWARD链进行限制，ebtables用于对以太网帧的过滤，在配置FORWARD参数时，DROP掉从蜜罐对真实业务的帧，放行攻击者对蜜罐的帧。

进一步地，所述ebtables的配置分为表、链和规则三级，每个链中设有一系列规则，每个规则定义一系列过滤选项。

进一步地，所述FORWARD链规则不进入用户控件，负责转发流经主机但不进入本机的数据包。

进一步地，所述蜜罐为桥接的Kvm虚拟机。

进一步地，所述过滤规则为Linux宿主机本机配置的ebtables以太网桥防火墙规则。

本发明技术方案带来的有益效果有：

1、使用一种新的以太网桥防火墙进行蜜罐的流量控制，通过在宿主机上进行蜜罐防跳板比直接在蜜罐上进行防跳板操作要容易管理，也避免了蜜罐失陷之后防跳板机制失效；

2、使运维人员直接通过以太网桥防火墙进行流量控制，在大规模部署蜜网之后进行更便捷、更安全的防跳板配置；

3、由于蜜罐本身是用来诱捕攻击者的，加强蜜罐防跳板机制，也可以防止攻击者在内网中进行横向移动，保护其余资产。

附图说明

图1为本发明的一种基于以太网桥规则的防跳板机的通用方法的示意图。

具体实施方式

下面对本发明技术方案进行详细说明，但是本发明的保护范围不局限于所述实施例。

本发明公开了一种基于以太网桥规则的防跳板机的通用方法，包括以下步骤：

步骤一：将多vlan部署的蜜罐桥接在Linux宿主机上。

本步骤中，使用桥接的方式，在Linux宿主机上多vlan创建大量蜜罐，形成更大范围部署的蜜网，Linux宿主机在每个vlan上均拥有一个地址，并创建ip为这些vlan中的地址的蜜罐，增加真实性与覆盖面，其中，蜜罐是诱导攻击者攻击的虚拟机，将蜜罐进行真实部署，Linux宿主机上的蜜罐通过桥接技术，相当于直接与宿主机连接的网络进行连接。同时，因为是桥接的方式，网络流量是通过linux宿主机进行转发，即所有流向目的为蜜罐的流量，都会经过Linux宿主机，因此，形成了极佳的流量控制的机制，也就是所有的蜜罐的流量都受linux宿主机控制，若宿主机不进行转发，则流量进入不到蜜罐里，同样不进行转发。而桥接的流量没办法用Linux宿主机自带的动态防火墙firewalld与静态防火墙iptables进行流量限制。firewalld与iptables只能限制对Linux宿主机自身的（也就是来源或者目的地为Linux宿主机本身的）进出流量，来源或者目的地为桥接在Linux宿主机上的蜜罐，宿主机没有办法通过自身的firewalld和iptabels来限制。因此，采用一种数据链路层的防火墙方式，也就是ebtables实现，ebtables是Linux内核自带的防火墙模块，流经本机的流量一共有两种，一种是来源或去向至少一个是本机的，这类使用iptables进行限制，另一种是来源和去向都不是本机的，ebtables可以作为常用防火墙的补充进行配置。

步骤二：采用以太网桥过滤数据包的配置方式，利用Linux内核中对数据链路层流量过滤数据包的配置工具ebtables进行配置。

本步骤中，采用以太网桥过滤数据包，利用配置工具ebtables进行配置。ebtables为以太网桥防火墙，是专门对桥接流量进行管理的Linux防火墙模块。ebtables进行配置主要是配置规则，如同常用防火墙一样，配置的对象即为防火墙规则。规则明确规定可以接受的流量的类型，或者拒绝等操作，从而达到限制的效果。

数据包从进入到离开系统，经过PreRoute，Input，Forward，Output，PostRoute五个阶段，每个阶段中包括了多个节点，每个节点就是一个过滤时机。当数据包行进到某个节点时，系统检测对应节点的过滤规则并进行过滤。

ebtables配置分为表、链、规则，每个链中有一系列规则，每个规则定义了一些过滤选项。每个数据包都会匹配这些项，一但匹配成功就会执行对应的动作。动作即是过滤行为，过滤行为有四种，包括ACCEPT，DROP，RETURN和CONTINUE，常用的就是ACCEPT和DROP。

步骤三：配置后，当数据包发送到Linux宿主机时，Linux宿主机检测处理该数据包的过滤规则并且进行过滤。

本步骤中，过滤规则为ebtables过滤规则，具体指定参数，例如-t指定表，-I或者-A指定插入规则的顺序，-p指定ipv4或ipv6，--ip-dst指定数据包发送的目的地址。--ip-proto指定协议（tcp,udp或icmp），-j指定操作（ACCEPT接受数据包或者DROP丢弃数据包等）。

步骤四：当攻击者攻击蜜罐时，利用ebtables对FORWARD链进行限制，ebtables用于对以太网帧的过滤，在配置FORWARD参数时，DROP掉从蜜罐对真实业务的帧，放行攻击者对蜜罐的帧。

本步骤中，对于在数据链路层发现的forward链，来源和去向都不是本机的桥接流量，利用ebtables指定-I FORWARD进行通过限制。例如ebtables -t filter -A FORWARD -p IPv4 --ip-dst 10.0.0.0/8 --ip-proto tcp -j DROP。使用DROP限制其流量，若不接受该流量，则直接把流经的数据包丢弃。

本发明中，利用以太网桥，解决桥接在Linux宿主机上的蜜罐的流量控制问题，主要规则有四种。其中IP代指一个IP地址，NETMASK代指子网掩码，例如10.0.0.0/8。

指定filter表，配置FORWARD链，指定协议（IPV4或IPV6），如IPV4地址，指定目的地址为一个IPV4地址/子网掩码，指定可以通过的端口为80端口，指定过滤动作为accept。例如： ebtables -t filter -I FORWARD -p IPv4 --ip-dst 10.0.0.0/8 --ip-proto tcp--ip-dport 80 -j ACCEPT。

由于数据都是双向的，数据发送到蜜罐的相应端口之后，需要相应端口产生数据包回应。因此，ebtables指定filter表，配置FORWARD链，指定协议（IPV4或IPV6），如IPV4地址，指定源地址为同样的A段地址，指定可以通过的端口为80端口，指定过滤动作为accept。例如： ebtables -t filter -I FORWARD -p IPv4 --ip-dst 10.0.0.0/8 --ip-prototcp --ip-sport 80 -j ACCEPT。

IP地址由两部分组成，即网络地址和主机地址。A类地址一般用于大型网络，B类地址一般用于中型网络；C类地址一般用于小型网络；D类地址为多播地址；E类地址保留今后使用。由于蜜罐需要大范围部署覆盖到网络中，因此选用A段地址进行操作。

当指定所有的可以允许通过的端口之后，指定同样的地址，指定目标地址为过滤动作为DROP。例如ebtables -t filter -A FORWARD -p IPv4 --ip-dst 10.0.0.0/8 --ip-proto tcp -j DROP。

指定同样的地址，指定来源为该IP地址的FORWARD链数据包的过滤动作为DROP。例如ebtables -t filter -A FORWARD -p IPv4 --ip-src 10.0.0.0/8 --ip-proto tcp -jDROP）这样，指定的地址可以包含10.0.0.0/8包含的所有IP地址。如有其它网段的地址或端口也如上添加即可。一次添加之后，保存到配置文件中，就可以以后都执行ebtabels规则进行数据包过滤。

本发明公开了一种基于以太网桥规则的防跳板机的通用方法，在具有一定规模的蜜网环境下实现，其采用了以太网桥过滤数据包的配置方式，利用Linux内核中对数据链路层流量过滤数据包的配置工具ebtables进行配置，当数据包发送到Linux宿主机时，宿主机检测处理该数据包的过滤规则并过滤，由于多vlan部署的蜜罐桥接在Linux宿主机上，因此，当攻击者攻击蜜罐时，利用ebtables对FORWARD链进行限制，FORWARD链规则不进入用户控件，负责转发流经主机但不进入本机的数据包。本发明采用一种以太网桥规则，在Linux宿主机上桥接多vlan创建大量蜜罐，形成大范围部署的蜜网，通过限制与允许端口流量的操作，使蜜罐独立于真实业务，进行防跳板操作。在宿主机上进行蜜罐防跳板比直接在蜜罐上进行防跳板操作更易管理，也避免了蜜罐失陷之后防跳板机制失效，使运维人员直接通过以太网桥防火墙进行流量控制，使得蜜罐系统拥有更加强大的防火墙能力，在大规模部署蜜网之后进行更便捷、更安全的防跳板配置。

如上所述，尽管参照特定的优选实施例已经表示和表述了本发明，但其不得解释为对本发明自身的限制。在不脱离所附权利要求定义的本发明的精神和范围前提下，可对其在形式上和细节上做出各种变化。