最近更新文章
2017/10/20
職場監視尺度須拿捏 兼顧資安保護及員工隱私
2017/10/20
AI/運算/感測相繼成熟 自駕車隨技術水到渠成
2017/10/19
樺賦科技全新 N2350 和 N4350 儲存伺服器
2017/10/19
雲服務接地氣 電信級標籤防偽
2017/10/19
微服務容器不是易開罐
2017/10/18
記錄檔案伺服器存取軌跡 免費達成稽核調閱要求
2017/10/17
希捷推出高容量 12TB NAS 硬碟
2017/10/17
網路櫃攸關機房運作 細節著手管理更可靠
2017/10/17
解危IoT威脅 資安委外滅火
2017/10/16
大世科成立全台首座企業級資安實戰演練中心
2017/10/16
合勤科技 2017 BBWF 首次亮相最新 WiFi Mesh 解決方案
2017/10/16
緊盯資安最脆弱環節 專家解析主機異常活動
2017/10/16
正確撰寫Dockerfile 製作最好用容器映像檔
2017/10/15
Hitachi Vantara 全新商用 Lumada 軟體堆疊, 強化工業物聯網平台市場
2017/10/14
恩智浦運用 Google Cloud IoT Core 促進智慧裝置的邊緣運算
2017/10/14
達友科技獨家代理資安品牌 OPSWAT 抵抗惡意攻擊
2017/10/13
NEC 研發出世界首創的聲音AR技術
2017/10/13
Nutanix 發表最新的企業雲平台 採用單一OS混合雲
2017/10/13
統轄大型複雜虛擬化環境 vROps監控管理有效率
2017/10/13
電商連資安險都拒保 專業防護贏回競爭力
2017/10/12
Openfind Mail2000 協助企業輕鬆做好資安防護
2017/10/12
NETSCOUT 推出 AIRCHECK G2 全新功能
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/7/5

低成本Sensor蒐集異常Log 偵測攻擊行為並預警威脅

用樹莓派架設Honeypot 揪出勒索病毒與APT滲透

丁光立
大量部署Sensor並以中控伺服器監控相關Log,就可以及時發覺進階持續性滲透攻擊,並提早發現蠕蟲。對此,本文將Raspberry Pi當作Honeypot,用來收集網路中的各種異常行為,並架設伺服器讓Honeypot把收集到Log整合至網頁中,方便管理員隨時監控。


最近加密勒索軟體WannaCry作祟,原本看似遙不可及的資安風暴突然在大家的身邊橫掃起來。除了專業人士及相關從業人員之外,網路安全與終端使用者的距離突然縮短了不少。此類的蠕蟲型勒索病毒相較於個人用戶而言,對企業的衝擊更為巨大,如何查驗在管轄的網路中是否有異常行為是網路安全中很重要的一環。

在本文中,將介紹如何將Raspberry Pi作為Honeypot使用,用於收集網路中的各種異常行為,並架設伺服器,讓Honeypot把收集到的各式Log整合至網頁中,以利管理員監控並且在災害擴大之前做好預防工作及進行對應的處理。

除了WannaCry之類的威脅以外,Honeypot亦可作為進階持續性滲透攻擊(Advanced Persistent Threat,APT)防禦的尖兵,在惡意份子試圖從各分公司或末端網路進行試探時進行預警,以利網路管理員及資安人員進行預防或阻擋。

打造操作環境

建構本次的操作環境,須要準備以下的程式:

‧ Honeypot:若要大量部署Honeypot,不得不考慮到費用的精簡,此次使用Raspberry Pi 2 Mode B(以下簡稱Pi)作為大量部署Honeypot的硬體,以降低其費用。將在Pi上安裝Raspbian Jessie Lite的作業系統,目前其版本為4.4。

‧ 伺服器:作業系統為Ubuntu 16.04,在Ubuntu上安裝MHN(Modern Honey Network)的伺服器套件,將其作為收集Log及透過網頁管理的伺服器。MHN的相關說明請參考其官方網站「http://threatstream.github.io/mhn/」。

網路架構說明

圖1為MHN網站所提供的架構圖,Sensors部分指的就是之後會架設的Honeypot,Sensors搜集到的資料透過hpfeeds收集(hpreeds:Honeynet Project generic authenticated datafeed protocol feeds,顧名思義就是收集Honeynet專案所產出資料的模組)。


▲圖1 MHN架構圖。


接著,再透過Mnemosyne(Normalizer for honeypot data,用途應該是維持資料格式的一致性),以便於後續處理。然後,存進mongo DB的資料庫。

此外,hpfeeds搜集到的資料也會上傳至HoneyMap的網頁,使用者可查看攻擊的來源IP之所在地為何。資料進入資料庫後,使用者可以透過Web App讀取及查看相關資料,其他第三方軟體也可透過REST API的方式新增或讀取資料。

安裝MHN Server

安裝流程的部分,先安裝MHN Server,接著使用其Deploy功能中提供的參數來安裝Sensor(Honeypot)。因此先安裝MHN Server,待安裝完成後再安裝Sensor並修改其相關參數,讓它產出資料給MHN Server。

在這之前,先更新軟體資料庫:(以下操作均已提權至root)




接著,安裝Git相關程式:




然後,開始安裝MHN:





▲圖2 設定MHN相關參數。


安裝完成後,安裝程式會詢問相關的設定,主要為郵件寄送的相關設定及網頁伺服器的網址等資訊,畫面如圖2所示。Superuser的email和密碼即為之後登入MHN網頁的帳號及密碼。如果須透過其他主機傳送郵件,使用TLS/SSL與否及認證用的帳號密碼需特別指定。

這篇文章讓你覺得滿意不滿意
送出
相關文章
趨勢科技:勒索病毒攻擊全台已超過2千萬次
防禦戰線持續向內延伸 就近攔阻威脅活動
威脅意識帶動資安預算 NGFW/UTM市場火熱
高性價比擊中甜蜜點 口碑服務打開市場空間
醫療產業網路攻擊激增 循國際標準管控資安風險
回應
Yanny
於 2017/7/27 17:35 回應
Hi,請問安裝上有問題,可以詢問谁?
留言
顯示暱稱:
留言內容:
送出