昨天提到,Modern Honey Network (MHN)安裝完畢後,從瀏覽器登入MHN Server的IP網址即可,即在瀏覽器輸入 http:// ip 便是登入畫面。
這裡以創建時輸入的email電子郵件為帳號登入。但是如果我們同樣用瀏覽器,輸入同樣MHN Server的IP網址,加上port 3000,http:// ip:3000 ,便會開啟威脅地圖頁面如下:
可以看到MHN Server目前沒有連接任何蜜罐Sensor所以沒有任何資料,那麼接下來我們要部署新的蜜罐了。首先登入WEB介面,點選左上角的「Deploy」選項,再下拉選單裡選擇想要部署的蜜罐種類:
選擇完畢,便會在同網頁Deploy Command下看到一串指令,複製那串指令,在另一台作為sensor蜜罐的伺服器上執行即可。sensor蜜罐的伺服器可以是實體伺服器,也可以是虛擬機VM,甚至輕薄小巧的Raspberry Pi,總之必須是Ubuntu系統 (少數幾個蜜罐支援安裝在Raspberry Pi上 ),只需要安裝基本Ubuntu作業系統/或Raspberry Pi,執行安裝指令的過程中便會安裝當初所選的蜜罐。
我們是否可以將多個蜜罐或套件安裝在同一台伺服器上呢?只要伺服器資源足夠,確實是可以的,但是因為幾個蜜罐都使用同一個port ,要注意不能安裝在同一台伺服器,不然就是要修改設定使用另一個port。
以下四個蜜罐都用port 80,只能選擇一個。(除非修改設定使用不同的Port)
conpot
glastopf
wordpot
shockpot
以下兩個蜜罐都用同樣的port,只能選擇一個。(除非修改設定使用不同的Port)
Amun
Dionaea
以下的套件可以安裝在同一台伺服器,沒有互相衝突。
kippo
snort
suricata
p0f
elastichoney
蜜罐安裝完畢後,我們在WEB介面上邊點選「Sensors」、「View Sensors」,所有安裝的Sensor蜜罐便會出現在頁面上,表示這些Sensor蜜罐都被MHN Server管理著,日誌資料也都會傳回MHN Server供於分析。我們可以用同一個Deploy Command快速地在好幾台伺服器部署同一種蜜罐。
“How about Chuck Norris with a BB gun?” – Max, Get Smart (2008)