設(shè)置IIS蜜罐抵御黑客攻擊

據(jù)有關(guān)資料顯示， 現(xiàn)在有大量的服務(wù)器仍在使用IIS提供Web服務(wù)， 甚至有爭奪占領(lǐng)Apache市場的趨勢。 在Web威脅日益嚴(yán)重的今天， 我們當(dāng)然要采用反病毒、防火墻、UTM、NAC等手段來加強(qiáng)網(wǎng)絡(luò)安全。 但是， 有時正確地建設(shè)一個蜜罐也是對付黑客的必需任務(wù)。

　　什么是蜜罐?簡言之， 蜜罐就是一個位于互聯(lián)網(wǎng)上的計(jì)算機(jī)系統(tǒng)， 其特定的目的是為了吸引并“誘捕”試圖滲透進(jìn)入其他人的計(jì)算機(jī)系統(tǒng)的黑客。 要建立一個真正的蜜罐， 用戶需要做的事情很多， 但至少要求用戶做到三條， 一是安裝一個不打補(bǔ)丁的操作系統(tǒng)， 并且需要使用默認(rèn)配置， 二是要保證系統(tǒng)上沒有任何數(shù)據(jù)， 三是添加一個設(shè)計(jì)目的是記載入侵者活動的應(yīng)用程序。

　　在IIS中配置蜜罐并不是一件件很復(fù)雜的事情， 但它卻可有助于極大地減少對IIS服務(wù)器的攻擊。 嚴(yán)格意義上講， 本文所談?wù)摰牟⒎且粋�真正的蜜罐， 因?yàn)橐粋�真正的蜜罐是一個擁有許多漏洞且故意暴露在互聯(lián)網(wǎng)上的主機(jī)， 這里所討論的只不過是一個數(shù)據(jù)通信的轉(zhuǎn)向器而已。 使用HTTP主機(jī)的頭信息， 我們完全可以將攻擊者的通信轉(zhuǎn)向一個并不存在的站點(diǎn)上。

　　黑客們會使用端口掃描器來查找那些開放著80號端口的IP地址， 并對這些端口實(shí)施其攻擊和侵入的企圖。 另外一方面， 網(wǎng)站的終端用戶會使用域名來訪問站點(diǎn)， 因此我們的措施并不會影響這些普通用戶。 通過啟用網(wǎng)站上的主機(jī)頭名并將IP企圖重新轉(zhuǎn)向， 我們就可以跟蹤和記錄黑客來自何方， 同時又保持了對終端用戶的可用性。

　　理論上的事兒先說到這里， 下面我們開始建立一個蜜罐。

　　我們需要做的第一件事情就是要在Web服務(wù)器上建立一個空的目錄。 其名稱與位置沒有什么關(guān)系， 對于本例而言， 筆者創(chuàng)建了一個稱為Honeypot的目錄， 它位于C：\Inetpub\wwwroot的目錄下。 啟動IIS 管理程序， 并為所有的站點(diǎn)分配一個主機(jī)頭名， 這樣每一臺虛擬服務(wù)器都有一個帶有IP地址的主機(jī)頭名。 如下圖1：

　　這里要保證虛擬服務(wù)器不能與無主機(jī)頭名的80號端口上的IP地址有映射關(guān)系， 并保證服務(wù)器不能擁有“全部未分配的” IP尋地址。 并保障主機(jī)的頭信息正確設(shè)置， 用戶仍可以訪問所有的站點(diǎn)。 如圖2：

　　然后， 再創(chuàng)建一個新的網(wǎng)站指向剛才創(chuàng)建的目錄。 這個蜜罐網(wǎng)站應(yīng)當(dāng)指定所有未分配的IP地址， 并且不能配置主機(jī)的頭信息。 雖然這個站點(diǎn)的名稱叫“honeypot”， 但這并不影響黑客對它的訪問。 進(jìn)入這個新網(wǎng)站的屬性設(shè)置界面， 選擇“目錄安全”選項(xiàng)卡， 并選中“集成windows身份驗(yàn)證”， 取消選擇其它的認(rèn)證方法， 然后單擊“確定”。 圖3：

　　接著， 選擇網(wǎng)站選項(xiàng)卡， 并單擊“高級”， 單擊“多網(wǎng)站配置”下的“添加”按鈕， 并添加所有的IP地址。 如果你收到了一個關(guān)于IP地址沖突的錯誤消息， 不要緊， 這表明你沒有為此網(wǎng)站設(shè)置主機(jī)頭名。 你需要做的是將IP地址從列表中清除， 或?yàn)榇司W(wǎng)站配置一個主機(jī)頭名。 圖4：

　　保存所有的更改， 然后退出Internet 信息服務(wù)。

　　這樣一來， 當(dāng)一個惡意用戶通過IP地址來訪問網(wǎng)站時， 他就會被發(fā)送至空目錄， 并得到一個403錯誤。 而通過DNS域名來訪問網(wǎng)站的用戶由于有了主機(jī)的頭信息， 就能夠訪問網(wǎng)站的內(nèi)容。

　　這樣做并不是絕對的安全， 因?yàn)楹诳蛡內(nèi)詴�試圖通過域名來訪問網(wǎng)站， 不過其多數(shù)攻擊都被發(fā)送到了IP地址。 使用主機(jī)的頭信息會改善Web服務(wù)器的性能， 這是因?yàn)閃WW服務(wù)沒有必要為使用獨(dú)立IP地址的網(wǎng)站分配非頁式內(nèi)在池。

　　還有一點(diǎn)， 一些較低版本的瀏覽器(不符合HTTP1.1規(guī)范的瀏覽器)將被直接轉(zhuǎn)向空目錄， 因?yàn)檫@種瀏覽器不接受主機(jī)頭名。 不過， 現(xiàn)在這種瀏覽器幾乎沒有人用了吧?