iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 5
1

我們需要蜜罐來蒐集情資,那麼蜜罐擺放的位置便很重要,一般會粗略分為外網、DMZ、內網三種位置:

1.外網
配置於防火牆外,或是在DMZ內將所有網路流量做PORT FORWARD轉至蜜罐,通常是純研究用,配置低交互式蜜罐,畢竟所有通訊協定(HTTP HTTPS NTP FTP DNS 等等)流量會產生大量資料,而且外網的風險為三者中最高,必須確認蜜罐不會被駭客攻破,變成發動攻擊的跳板。

2.DMZ
配置於防火牆後,內網之前的DMZ,由於防火牆會擋下大部分網路流量,只允許特定流量通往蜜罐(例如特定通訊協定FTP流量、或流量通往PORT 22等等),可以配置低交互式蜜罐,蒐集特定資訊,例如以低交互蜜罐cowrie 蒐集SSH登入嘗試。因為蜜罐本身的SSH登入不使用預設PORT 22,所以可以記錄每次在PORT 22的SSH連線,從而找出駭客brute force attack暴力攻擊或針對帳密登錄攻擊來源。當發現有來自內網的PORT 22 SSH登入,內網有可能已被做為攻擊跳板,必須追查來源;也可在DMZ配置高交互式蜜罐,偵測來自內網或DMZ網段的攻擊。

3.內網
內網的網路流量應該是正常而且不應該觸及蜜罐的,如果有存取蜜罐資源的行為,必須追朔來源及調查手法,看是否設定錯誤產生broadcast流量,或是有來自內網的攻擊行為。在內網配置高交互式蜜罐可以從流量和動態中鑑識出駭客攻擊手法。

「君子用人如器,各取所長」—《資治通鑑》


上一篇
[Day 4] 30天蜜罐品嘗 : 蜜罐的優缺點
下一篇
[Day 6] 30天蜜罐品嘗 : 蜜罐非罐之一 honeytoken
系列文
30天蜜罐品嘗30

1 則留言

0
彭偉鎧
iT邦新手 4 級 ‧ 2019-10-12 21:23:16

DMZ應該是比較有挑戰性的一個位置,直接放在大門口。

Sergeyau iT邦研究生 2 級 ‧ 2019-10-12 21:54:03 檢舉

是的,,所以必須考慮蜜罐本身安全性。但是DMZ可以收集到來自內網
對DMZ伺服器的攻擊,同時依照防火牆規則,可以收集來自外部對DMZ會內部的攻擊,所以就企業防禦的角度來說,資料價值很大。

我要留言

立即登入留言