這二十五天來的介紹,稍微有提到Honeynet蜜網,從單一獨自運作的honeypot蜜罐,到結合多個蜜罐完成一個完整的蜜網,我們可以佈署一整個網段的蜜罐,或者跨網段從外網、DMZ到內網針對需求佈署不同種類型態的蜜罐,但是這樣的佈署方式需要有中央伺服器來管理、匯集、整合資料。昨天也提到,如果我們外網、DMZ、內網各配置一個T-Pot蜜罐,要分別登入三個蜜罐去檢索資料?若是佈署十個、二十個蜜罐,難道我們要一個個登入嗎?
今天來介紹一個來自Anomali (前身是ThreatStream)的專案:Modern Honey Network (MHN)。MHN為了解決佈署多個蜜罐的管理問題,簡化本身安裝過程,採用Master/Slave模式,用一個MHN Server從WEB介面集中管理所用的蜜罐,對於資源的需求也不大
MHN Server硬體需求
4GB RAM
dual core processor
40 GB 硬碟.
Honeypots蜜罐硬體需求
512MB-1GB RAM
dual core CPU
20GB 硬碟.
看每天資料量多寡和覆寫程度,也可以少於20GB硬碟。
目前可以安裝、支援的蜜罐與作業系統包括:
Amun (Ubuntu 14.04/16.04)
Cowrie (Ubuntu 16.04)
Conpot (Ubuntu 14.04/16.04)
Dionaea (Ubuntu 14.04, Centos 7, Raspberry Pi)
ElasticHoney (Ubuntu 14.04/16.04)
Glastopf (Ubuntu 14.04/16.04)
p0f (Ubuntu 14.04/16.04)
Shockpot (Ubuntu 14.04/16.04)
Snort (Ubuntu 14.04/16.04)
Suricata (Ubuntu 14.04/16.04)
Wordpot (Ubuntu 14.04/16.04)
安裝MHN Server的過程非常簡單,在任何現有Ubuntu 18.04, Ubuntu 16.04和Centos 6.9.系統上安裝Git,從Gitbhub上拿MHN,執行install.sh即可
sudo apt install git -y
cd /opt/
sudo git clone https://github.com/pwnlandia/mhn.git
cd mhn/
sudo ./install.sh
安裝過程中會詢問以下選項。注意這裡的email會被用來當做日後登入的帳號,安裝過程中會詢問是否要與現有Splunk整合,或是直接安裝ELK:
安裝完畢後,從瀏覽器登入MHN Server的IP網址即可
“Would you believe two dozen Delta Force Commandos?” -- Maxwell Smart, Get Smart(2008)
Modern Honey Network (MHN) Github page
https://github.com/pwnlandia/mhn