之前強調過佈署必須考慮蜜罐本身安全性,很多資料會說蜜罐就是一個有漏洞的系統,故意讓人攻擊,但是這很模玲兩可,容易誤導聽眾。個人認為比較精確一點的說法應該是:蜜罐是一個虛擬陷阱,藉由模擬漏洞來引誘攻擊,藉由監控了解分析手法,進而採取反制措施。換言之,如果不是虛擬陷阱而是真的擺一台有漏洞的伺服器在那裡,被打爆了或被駭客利用了該怎麼快速處理?如果沒人監控、分析,那蜜罐擺在那裏有什麼用?若是分析後無力進行反制措施,也只是眼睜睜的看著被打。
這幾天介紹的Modern Honey Network (MHN),包含兩個部分:MHN Server是中央管理伺服器,進行管理蜜罐、檢索分析資料等等工作;蜜罐Sensor負責進行偵測、蒐集,並將資料傳回給MHN Server。
在安全性的考量上,蜜罐Sensor本身是由MHN Server中央管理伺服器的安裝script去佈署,Cowrie、Conpot 、Dionaea等等都是現成的開源蜜罐套件,並不會有特別大的風險。但是和之前介紹的T-Pot相比,MHN蜜罐Sensor並非基於Docker架構,而是在我們自己架設的Ubuntu伺服器或Raspberry Pi上,安裝蜜罐套件,我們自己要負責、注意各個蜜罐Sensor的系統更新,進行OS Patching,同時蜜罐Sensor防火牆需要我們自己去設定,這部分就需要看配置位置:內網、外網、DMZ,依部署蜜罐套件和所需蒐集的資料進行調整。
在MHN Server上,防火牆只需要開放TCP Port 443和TCP Port 3000 兩個Port提供MHN Server和蜜罐Sensor間溝通傳遞資訊,其餘的Port在MHN Server上可以關閉加強安全性。另一個需要注意的地方是MHN Server預設並非使用HTTPS,細心的讀者應該也發現在第26天的介紹,我的螢幕截圖理是使用預設值HTTP而非HTTPS,如果再安裝的時候將Server base url 和Honeymap url改為https:// ip 和 https:// ip :3000 ,MHN Server會創建一個self signed SSL certificate;若是想使用另一個certificate,或是從原本HTTP改為HTTPS,可以改變MHN Server上的NGINX設定,需要安裝Cerbot,從Let’s Encrypt產生certificate。這部分的設定可以參考文末連結。
“Protocol? There is no protocol for this!” -- Matt Weston, Safe House (2012)
Running MHN Over HTTPS
https://github.com/pwnlandia/mhn/wiki/Running-MHN-Over-HTTPS