我們需要蜜罐來蒐集情資,那麼蜜罐擺放的位置便很重要,一般會粗略分為外網、DMZ、內網三種位置:
1.外網
配置於防火牆外,或是在DMZ內將所有網路流量做PORT FORWARD轉至蜜罐,通常是純研究用,配置低交互式蜜罐,畢竟所有通訊協定(HTTP HTTPS NTP FTP DNS 等等)流量會產生大量資料,而且外網的風險為三者中最高,必須確認蜜罐不會被駭客攻破,變成發動攻擊的跳板。
2.DMZ
配置於防火牆後,內網之前的DMZ,由於防火牆會擋下大部分網路流量,只允許特定流量通往蜜罐(例如特定通訊協定FTP流量、或流量通往PORT 22等等),可以配置低交互式蜜罐,蒐集特定資訊,例如以低交互蜜罐cowrie 蒐集SSH登入嘗試。因為蜜罐本身的SSH登入不使用預設PORT 22,所以可以記錄每次在PORT 22的SSH連線,從而找出駭客brute force attack暴力攻擊或針對帳密登錄攻擊來源。當發現有來自內網的PORT 22 SSH登入,內網有可能已被做為攻擊跳板,必須追查來源;也可在DMZ配置高交互式蜜罐,偵測來自內網或DMZ網段的攻擊。
3.內網
內網的網路流量應該是正常而且不應該觸及蜜罐的,如果有存取蜜罐資源的行為,必須追朔來源及調查手法,看是否設定錯誤產生broadcast流量,或是有來自內網的攻擊行為。在內網配置高交互式蜜罐可以從流量和動態中鑑識出駭客攻擊手法。
「君子用人如器,各取所長」—《資治通鑑》
DMZ應該是比較有挑戰性的一個位置,直接放在大門口。
是的,,所以必須考慮蜜罐本身安全性。但是DMZ可以收集到來自內網
對DMZ伺服器的攻擊,同時依照防火牆規則,可以收集來自外部對DMZ會內部的攻擊,所以就企業防禦的角度來說,資料價值很大。