這幾天介紹多功能的高交互蜜罐T-Pot,不但能在同個蜜罐上模擬多種服務,憑高交互蜜罐的特性使駭客信以為真,讓資安團隊能察覺、偵測攻擊手法,本身內建多種分析工具,這麼好用的蜜罐是否近乎完美呢?
不然,T-Pot蜜罐需要的資源比較多,即使不採用Standard安裝,仍然需要一定的資源,而且如果我們在網路環境內網各網段、DMZ等等配置多個T-Pot蜜罐,要怎麼將各個T-Pot收集的資料集中在一個中央伺服器,方便一次性檢索分析呢?總不能一個個登入檢視分析吧?即使T-Pot本身提供Sensor安裝模式,只安裝蜜罐不安裝全部工具,但是安裝過程中卻沒有明確易懂的指令或文件告訴我們怎麼把資料集中在一個中央伺服器,或是將日誌log傳送至遠端的log伺服器。
T-Pot既然有利用ELK Stack架構,那麼理論上是可以用Standard安裝模式架設一個中央伺服器,其餘T-Pot蜜罐都用Sensor安裝模式,然後用Beats把日誌傳回中央伺服器。但是T-Pot為了安全採用Docker架構,如何更改設定但是重啟後仍然能維持呢?再者若是T-Pot蜜罐配置在DMZ或防火牆外,如何安全地傳送資訊至中央伺服器,不讓資料在中途被截取或竊聽便是需要考慮的問題。
在Github上有人便試著解決這個問題,目前在Beta測試,沿用原本T-Pot蜜罐的架構,運用SearchGuard安全地傳遞、保護資訊,同時加入了add_sensor.sh這個script讓各個做為Sensor的T-Pot蜜罐可以將資料集中傳回給一個中央伺服器,我們下載安裝後,執行add_sensor.sh ,輸入中央伺服器的IP位址,依照script指示繼續安裝便可以完成,如此一來,便可以連結一個或多個T-Pot蜜罐,構築一個蜜網。注意這還在Beta階段,並沒有正式獲得支援,大家請斟酌使用。
“I think it's only fair to warn you, this facility is surrounded by a highly trained team of 130 Black Op Snipers.” Maxwell Smart, Get Smart
T-Pot Github
https://github.com/dtag-dev-sec/tpotce
T-Pot Universal Installer and ISO Creator, a fork of original T-Pot
https://github.com/Podictive/tpotce/tree/master