引言:
那么,什么是蜜罐技術?
蜜罐技術本質上是一種對攻擊方進行欺騙的技術,通過布置一些作為誘餌的主機、網絡服務或者信息,誘使攻擊方對它們實施攻擊,從而可以對攻擊行為進行捕獲和分析,了解攻擊方所使用的工具與方法,推測攻擊意圖和動機,能夠讓防御方清晰地了解他們所面對的安全威脅,并通過技術和管理手段來增強實際系統的安全防護能力。
例如,MHN現代蜜網就簡化了蜜罐的部署,集成了多種蜜罐的安裝腳本,可以快速部署、使用,也能夠快速的從節點收集數據。并且蜜罐高保真高質量的數據集把安全人員從以前海量日志分析的繁瑣過程中解脫出來,對于蜜罐的連接訪問都是攻擊信息,并且不再像以前的特征分析具有一定的滯后性,可以用于捕獲新型的攻擊和方法。
雖然MHN簡化了各蜜罐的部署過程,但還是需要手動安裝多個系統sensor來實現多個不同蜜罐。小編為大家推薦一個更簡單方便的平臺供讀者研究/使用蜜罐。
一、ISO文件下載
項目地址(可以詳細了解一下):
https://github.com/dtag-dev-sec/tpotce
下載鏈接(標準ISO文件,33MB):
https://github.com/dtag-dev-sec/tpotce/releases/download/19.03.1/tpot.iso
二、創建一臺VMWare 虛擬機(版本:15)
Red Hat Enterprise linux 7(64位),1CPU,4G內存,65G硬盤,ISO文件掛載
三、開機,開始部署
1、選擇“T-Pot 19.03.1”
2、地區選擇“Other”->“Asia”->“China”
3、自動獲取IP或獲取失敗就手動設定IP/掩碼/網關/DNS
4、選擇“China”->“mirrors.163.com”(下載不成功可換另一個)
5、開始安裝基礎系統(大約需要20分鐘)
6、選擇“STANDARD Honeypots,ELK,NSM & Tools”(到這步要等很久)
7、設定tsec(用戶名固定)的密碼;
8、設定WEB用戶的用戶名(例如abc);
9、設定WEB用戶的密碼;
10、 開始安裝,過程有點漫長需要幾個小時,安裝完畢將顯示控制臺界面。;
四、登陸控制臺
1、使用tsec和密碼登陸系統(可以不登陸);
五、登陸ADMIN界面
1、https://ip:64294,可登陸ADMIN界面,使用tsec和密碼進行登陸;
注意:要選擇“重用我的密碼以執行特權任務”,否則權限不足,無法管理容器,如下圖所示。
2、查看系統信息,注意右上角要顯示“有特權的”
3、查看容器和管理容器(各蜜罐均基于容器運行,默認全部運行。)
4、帳號管理(默認有root和tsec帳戶,root帳戶不可用于Admin登陸)
5、終端(可以對服務器進行維護,包括查看容器信息等)
六、登陸WEB界面
1、https://ip:64297,可登陸WEB界面,使用安裝時設定的用戶名和密碼進行登陸;
不能使用IE瀏覽器,Chrome瀏覽器好象也不行,要使用版本較新的FireFox瀏覽器。
2、儀表盤、T-POT和強大的搜索功能;
六、部分蜜罐的交互界面
六、結束語
1、蜜罐部署完成后變更量幾乎為零,僅需定時接收和查看警告信息即可;
2、蜜罐均提供日志查詢功能,無論是WEB界面還是日志文件;
3、開源蜜罐功能強大,初期部署需投入較多的人力成本,筆者也是抽空部署和簡單研究了一下,希望后續有朋友提供更詳盡的相關手冊。
