iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 27
0
Security

30天蜜罐品嘗系列 第 27

[Day 27] 30天蜜罐品嘗 : 從MHN部署蜜罐

昨天提到,Modern Honey Network (MHN)安裝完畢後,從瀏覽器登入MHN Server的IP網址即可,即在瀏覽器輸入 http:// ip 便是登入畫面。
https://ithelp.ithome.com.tw/upload/images/20191013/20084806cvwH5lrHTq.png

這裡以創建時輸入的email電子郵件為帳號登入。但是如果我們同樣用瀏覽器,輸入同樣MHN Server的IP網址,加上port 3000,http:// ip:3000 ,便會開啟威脅地圖頁面如下:
https://ithelp.ithome.com.tw/upload/images/20191013/20084806UrKT1PQyJu.png

可以看到MHN Server目前沒有連接任何蜜罐Sensor所以沒有任何資料,那麼接下來我們要部署新的蜜罐了。首先登入WEB介面,點選左上角的「Deploy」選項,再下拉選單裡選擇想要部署的蜜罐種類:
https://ithelp.ithome.com.tw/upload/images/20191013/20084806GsxdAedjhH.png

選擇完畢,便會在同網頁Deploy Command下看到一串指令,複製那串指令,在另一台作為sensor蜜罐的伺服器上執行即可。sensor蜜罐的伺服器可以是實體伺服器,也可以是虛擬機VM,甚至輕薄小巧的Raspberry Pi,總之必須是Ubuntu系統 (少數幾個蜜罐支援安裝在Raspberry Pi上 ),只需要安裝基本Ubuntu作業系統/或Raspberry Pi,執行安裝指令的過程中便會安裝當初所選的蜜罐。

我們是否可以將多個蜜罐或套件安裝在同一台伺服器上呢?只要伺服器資源足夠,確實是可以的,但是因為幾個蜜罐都使用同一個port ,要注意不能安裝在同一台伺服器,不然就是要修改設定使用另一個port。

以下四個蜜罐都用port 80,只能選擇一個。(除非修改設定使用不同的Port)
conpot
glastopf
wordpot
shockpot

以下兩個蜜罐都用同樣的port,只能選擇一個。(除非修改設定使用不同的Port)
Amun
Dionaea

以下的套件可以安裝在同一台伺服器,沒有互相衝突。
kippo
snort
suricata
p0f
elastichoney

蜜罐安裝完畢後,我們在WEB介面上邊點選「Sensors」、「View Sensors」,所有安裝的Sensor蜜罐便會出現在頁面上,表示這些Sensor蜜罐都被MHN Server管理著,日誌資料也都會傳回MHN Server供於分析。我們可以用同一個Deploy Command快速地在好幾台伺服器部署同一種蜜罐。

“How about Chuck Norris with a BB gun?” – Max, Get Smart (2008)


上一篇
[Day 26] 30天蜜罐品嘗 :蜜罐疊疊樂成蜜網Modern Honey Network (MHN)
下一篇
[Day 28] 30天蜜罐品嘗 :MHN安全措施考量
系列文
30天蜜罐品嘗30

尚未有邦友留言

立即登入留言