通过在你的网络上运行一个honeypot,你可以避免来自防火墙和入侵检测报告那里的过重的信息负担。
一小部分人可能拒绝这种安全性,因为在过去一些年头里网络管理员有一个巨大的权限。还有,网络管理员贡献了无数的时间,以确保他们的网络有着所有的最新安全补丁、防火墙、和入侵检测系统,以提供可疑行为日志。不幸的是,防火墙和入侵检测系统报告并不像过去一样有用了,因为它们都会生成极其巨大的日志文件。在每一天,这些日志数据很容易就可以达到十亿字节的大小。在今天这个“用更少的资源做更多的工作”的世界里,公司没有足够的人力资源来每天审查这些厚重的日志。
我并不是说防火墙和入侵检测日志毫无价值。它们有它们自己的应用空间。不过,在产生错误信息方面,当你认为它们产生的这些厚重的信息和入侵检测系统实在是声名狼藉,那么它们不能给你提供任何帮助了,你只能去思考它们到底是不是一个最好的方法。
Honeypot 解决信息过载问题
或许,Honeypot 是一个更好的解决办法。Honeypot 有两个主要的品种,真实的和虚拟的,它们都采取诱骗来提供服务。Honeypot 的概念是在两年前出现的,那个时候网络管理员需要一种方法以找出是否有人侦测它们的网络。传统的说法认为如果有人在侦测网络,他们不会发送任何数据保,因此侦测无法被检测到。不过,有些人有了解决它的办法,即为相关的Windows 网络服务器建立一个偶尔发送数据包的诱饵系统。对网络进行侦测的人肯定会运行一个DNS 查询来查找出这个未知系统的身份。在DNS 查询运行之后,连同数据和时间一起,该机器用于查询的IP 地址和计算机名会被记录下来。
自从这个技术被第一次被提出,诱饵系统或是honeypot 已经进步了不少。现在大约有十二个公司正在提供各种各样的honeypot 解决方案。如果你很在意安全性,在你的工作场所拥有一个honeypot 系统之后,它们给你带来的问题会很少,你肯定可以从中获取很多好处。你需要做出的主要的决定是:面对一个真实的虚拟的honeypot,你的计算机从哪个那里可以获得更大的利益。
