蜜罐技术侧重于企业安全场景,是从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为网络安全管理员提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。此技术被广泛应用于感知办公内网、生产环境、云内网及其他环境失陷主机横向移动、员工账号外泄、扫描和探测行为、私有情报生产甚至内部演练和安全意识培训,市面上的蜜罐系统基本都具备多种告警输出形式与态感、NDR、XDR或日志平台结合,极大拓展检测视野。
虽然蜜罐技术具有很强的检测能力,但是也存在很大局限性,比如:
1.虽然蜜罐能够有助于绘制威胁环境图,但蜜罐看不到所有正在发生的事情,而只能看到针对蜜罐的活动。所以不能因为某种威胁没有针对蜜罐就以为他不存在。
2.一个好的、配置合理的蜜罐会欺骗攻击者,但如果攻击者成功将其识别为蜜罐,他们会继续攻击其他系统。
3.一旦蜜罐被“采集指纹”,攻击者有可能会以蜜罐作为进入系统的一种方式,这就是为什么蜜罐永远代替不了防火墙和其他入侵检测系统。
4.蜜罐如果做不好访问控制策略,有一定风险成为黑客入侵你内网的跳板机。
常见开源蜜罐系统
1、HFISH
HFish是北京微步在线科技有限公司推出的一款基于Golang开发的跨平台多功能主动诱导型开源蜜罐框架系统,全程记录黑客攻击手段,实现防护自主化。安全简单,易于上手,提供了一系列方便运维和管理的技术,包括:一键闪电部署、应用模块批量管理、节点服务动态调整等特性。
2、HoneyDrive
HoneyDrive是一款基于XuBuntu的开源和首选蜜罐捆绑linux操作系统,其中包含了超过10个预安装和预配置的蜜罐软件包,如kippo SSH honeypot、Dionaea和恶意软件蜜罐。此外它还包含了许多有用的预配置脚本和实用程序,用于分析、可视化和处理可捕获的数据。
3、DecoyMini
DecoyMini(智能仿真与诱捕防御工具)作为一款优秀的国产免费蜜罐系统,具备丰富的攻击诱捕和溯源分析功能。可以无缝应用到网关设备,对外部发起的网络攻击进行及时封堵。支持Linux以及Windows系统安装。
值得一提的是,DecoyMini提供了很多仿真模板,来模仿诸多不同的业务场景的漏洞平台。对于攻击者而言更具有诱惑性。
蜜罐部署及使用
以HFish蜜罐为例,操作系统为CentOS 7
联网环境,一键安装
当前HFish启动后会有两个进程,其中”hfish”进程为管理进程,负责监测、拉起和升级蜜罐主程序,”管理端”进程为蜜罐主程序进程,其执行蜜罐软件程序。 Linux版本HFish管理端数据库及配置文件都存储在 /usr/share/hfish 目录下,重装时会自动读取目录下的配置和数据。
如果您部署的环境为Linux,且可以访问互联网。我们为您准备了一键部署脚本进行安装和配置,在使用一键脚本前,请先配置防火墙
请防火墙开启4433、4434,确认返回success(如之后蜜罐服务需要占用其他端口,可使用相同命令打开。)
firewall-cmd --add-port=4433/tcp --permanent #(用于web界面启动)firewall-cmd --add-port=4434/tcp --permanent #(用于节点与管理端通信)firewall-cmd --reload复制失败成功使用root用户,运行下面的脚本。
bash <(curl -sS -L https://hfish.net/webinstall.sh)复制失败成功完成安装
登陆链接:https://[ip]:4433/web/账号:admin密码:HFish2021复制失败成功如果管理端的ip是192.168.1.1,登陆链接为:
https://192.168.1.1:4433/web/
安装完成后,HFish会自动在管理端上创建一个节点。可进行登录后,在「节点管理」列表中进行查看。
无法联网,手动安装
如果您的环境无法联网,可以尝试手动安装。
第一步:下载安装包:HFish-Linux-amd64( Linux x86 架构 64 位系统)
按如下步骤进行安装 (以Linux 64位系统为例):
第二步: 在当前目录创建一个路径解压安装包
mkdir hfish复制失败成功第三步:将安装文件包解压到hfish目录下
tar zxvf hfish-3.1.4-linux-amd64.tgz -C hfish复制失败成功第四步:请防火墙开启4433、4434和7879,确认返回success(如果有其他服务需要打开端口,使用相同命令打开。
firewall-cmd --add-port=4433/tcp --permanent (用于web界面启动)firewall-cmd --add-port=4434/tcp --permanent (用于节点与管理端通信)firewall-cmd --reload复制失败成功第五步:进入安装目录直接运行install.sh
cd hfishsudo ./install.sh复制失败成功第六步:登陆web界面
登陆链接:https://[ip]:4433/web/账号:admin密码:HFish2021复制失败成功如果管理端的ip是192.168.1.1,登陆链接为:
https://192.168.1.1:4433/web/
在安装完成后,HFish会自动在管理端上创建一个节点。可在节点管理进行查看。
特别注意:
如果部署节点在外网,可能会出现tcp连接超过最大连接数限制(1024个),导致其他连接被拒绝的情况。在这种情况下,可以手动放开机器tcp最大连接数。参考解决链接https://www.cnblogs.com/lemon-flm/p/7975812.html参考:https://hfish.net/#/
编辑:老李
来源:老李讲安全
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!