引言:
那么,什么是蜜罐技术?
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
例如,MHN现代蜜网就简化了蜜罐的部署,集成了多种蜜罐的安装脚本,可以快速部署、使用,也能够快速的从节点收集数据。并且蜜罐高保真高质量的数据集把安全人员从以前海量日志分析的繁琐过程中解脱出来,对于蜜罐的连接访问都是攻击信息,并且不再像以前的特征分析具有一定的滞后性,可以用于捕获新型的攻击和方法。
虽然MHN简化了各蜜罐的部署过程,但还是需要手动安装多个系统sensor来实现多个不同蜜罐。小编为大家推荐一个更简单方便的平台供读者研究/使用蜜罐。
一、ISO文件下载
项目地址(可以详细了解一下):
https://github.com/dtag-dev-sec/tpotce
下载链接(标准ISO文件,33MB):
https://github.com/dtag-dev-sec/tpotce/releases/download/19.03.1/tpot.iso
二、创建一台VMWare 虚拟机(版本:15)
Red Hat Enterprise linux 7(64位),1CPU,4G内存,65G硬盘,ISO文件挂载
三、开机,开始部署
1、选择“T-Pot 19.03.1”
2、地区选择“Other”->“Asia”->“China”
3、自动获取IP或获取失败就手动设定IP/掩码/网关/DNS
4、选择“China”->“mirrors.163.com”(下载不成功可换另一个)
5、开始安装基础系统(大约需要20分钟)
6、选择“STANDARD Honeypots,ELK,NSM & Tools”(到这步要等很久)
7、设定tsec(用户名固定)的密码;
8、设定WEB用户的用户名(例如abc);
9、设定WEB用户的密码;
10、 开始安装,过程有点漫长需要几个小时,安装完毕将显示控制台界面。;
四、登陆控制台
1、使用tsec和密码登陆系统(可以不登陆);
五、登陆ADMIN界面
1、https://ip:64294,可登陆ADMIN界面,使用tsec和密码进行登陆;
注意:要选择“重用我的密码以执行特权任务”,否则权限不足,无法管理容器,如下图所示。
2、查看系统信息,注意右上角要显示“有特权的”
3、查看容器和管理容器(各蜜罐均基于容器运行,默认全部运行。)
4、帐号管理(默认有root和tsec帐户,root帐户不可用于Admin登陆)
5、终端(可以对服务器进行维护,包括查看容器信息等)
六、登陆WEB界面
1、https://ip:64297,可登陆WEB界面,使用安装时设定的用户名和密码进行登陆;
不能使用IE浏览器,Chrome浏览器好象也不行,要使用版本较新的FireFox浏览器。
2、仪表盘、T-POT和强大的搜索功能;
六、部分蜜罐的交互界面
六、结束语
1、蜜罐部署完成后变更量几乎为零,仅需定时接收和查看警告信息即可;
2、蜜罐均提供日志查询功能,无论是WEB界面还是日志文件;
3、开源蜜罐功能强大,初期部署需投入较多的人力成本,笔者也是抽空部署和简单研究了一下,希望后续有朋友提供更详尽的相关手册。