⑴ 【實用】開源蜜罐Hfish的簡單部署並接入到GrayLog
開源蜜罐Hfish部署與GrayLog接入指南開源蜜罐Hfish,專為企業安全設計,它以輕量、高效著稱,尤其適合中小企業。Hfish提供40多種蜜罐環境,包括免費雲蜜網,自定義能力強,一鍵部署,並支持多種平台架構,兼容國產系統和CPU。其低性能需求和豐富的告警選項,如郵件、syslog、Webhook等,有助於降低運維成本,提升運營效率。
選擇Hfish,是因為它能精準檢測內網失陷、外網威脅,同時也是生成本地威脅情報的理想工具。Hfish在辦公內網、生產環境等場景中廣泛應用,配合態感、NDR、XDR或日誌平台,擴展了威脅檢測的廣度。
部署與配置步驟
- 首先,修改sshd埠,僅開放管理機訪問許可權。
- 登錄Web界面,配置蜜罐服務,如蜜罐類型和防火牆設置。
- 通過Web界面添加釘釘告警機器人,同時配置Graylog syslog接收埠,如192.168.31.230 1514 udp。
- 設定告警策略,如hydra暴力破解測試。
- 展示攻擊測試結果,包括釘釘告警和大屏效果。
接入GrayLog
為了確保Hfish日誌無縫接入,需要配置GrayLog欄位提取器,將json格式日誌進行解析。例如,訪問Hfish後,日誌欄位將清晰可見。
通過以上步驟,企業可以便捷地部署Hfish蜜罐並將其與GrayLog集成,實現更有效的安全監控和威脅管理。
⑵ 蜜罐的發展歷程和目前的主流分類有哪些
蜜罐技術的發展歷程
從九十年代初蜜罐概念的提出直到1998 年左右,「蜜罐」還僅僅限於一種思想,通常由網路管理人員應用,通過欺騙黑客達到追蹤的目的。這一階段的蜜罐實質上是一些真正被黑客所攻擊的主機和系統。從1998 年開始,蜜罐技術開始吸引了一些安全研究人員的注意,並開發出一些專門用於欺騙黑客的開源工具,如Fred Cohen 所開發的DTK(欺騙工具包)、Niels Provos 開發的Honeyd 等,同時也出現了像KFSensor、Specter 等一些商業蜜罐產品。這一階段的蜜罐可以稱為是虛擬蜜罐,即開發的這些蜜罐工具能夠模擬成虛擬的操作系統和網路服務,並對黑客的攻擊行為做出回應,從而欺騙黑客。
虛擬蜜罐工具的出現也使得部署蜜罐也變得比較方便。但是由於虛擬蜜罐工具存在著交互程度低,較容易被黑客識別等問題,從2000年之後,安全研究人員更傾向於使用真實的主機、操作系統和應用程序搭建蜜罐,但與之前不同的是,融入了更強大的數據捕獲、數據分析和數據控制的工具,並且將蜜罐納入到一個完整的蜜網體系中,使得研究人員能夠更方便地追蹤侵入到蜜網中的黑客,並對他們的攻擊行為進行分析。
、蜜罐的分類
世界上不會有非常全面的事物,蜜罐也一樣。根據管理員的需要,蜜罐的系統和漏洞設置要求也不盡相同,蜜罐是有針對性的,而不是盲目設置的,因此,就產生了多種多樣的蜜罐……根據蜜罐與攻擊者的交互程度,可以分為三類:低交互蜜罐、中交互蜜罐及高交互蜜罐。
1、低交互蜜罐
低交互蜜罐最大的特點是模擬(設計簡單且功能有限,安裝配置和維護都很容易)。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產品系統,而是對各種系統及其提供的服務的模擬。由於它的服務都是模擬的行為,所以蜜罐可以獲得的信息非常有限,只能對攻擊者進行簡單的應答,它是最安全的蜜罐類型。
這種蜜罐沒有真實的操作系統,它的價值主要在於檢測,也就是對未授權掃描或者未授權連接嘗試的檢測。他只提供了有限的功能,因此大部分可以用一個程序來模擬。只需將該程序安裝在一台主機系統中,配置管理希望提供的服務就可以了,管理員所要做的工作就是維護程序的補丁並監視所有的預警機制。這種蜜罐所提供的功能少,出錯少,風險低,同時它能夠為我們提供的關於攻擊者的信息量也有限,只能捕獲已知的攻擊行為,並且以一種預定的方式進行響應,這樣容易被攻擊者識破,不管模擬服務做得多好,技術高明的黑客最終都能檢測到他的存在。
2、中交互蜜罐
中交互蜜罐是對真正的操作系統的各種行為的模擬,它提供了更多的交互信息,同時也可以從攻擊者的行為中獲得更多的信息,與低交互蜜罐相比,它的部署和維護更為復雜。在這個模擬行為的系統中,蜜罐可以看起來和一個真正的操作系統沒有區別,攻擊者可以得到更多的交互。它們是比真正系統還要誘人的攻擊目標,因此必須要以一個安全的方式來部署這種交互。必須開發相應的機制以確保攻擊者不會危害其他系統,並且這種增加的功能不會成為攻擊者進行攻擊的易受攻擊環節。攻擊者可能會訪問到實際操作系統,但他們的能力是受限的,這種類型的蜜罐必須要進行日常維護,以應對新的攻擊。由於它具有較大的復雜度,所以出錯的風險也相應的增大,另一方面他可以收集到更多攻擊者的信息。
3、高交互蜜罐
高交互蜜罐具有一個真實的操作系統,它的優點體現在對攻擊者提供真實的系統,當攻擊者獲得ROOT許可權後,受系統數據真實性的迷惑,他的更多活動和行為將被記錄下來。缺點是被攻擊的可能性很高,如果整個高交互蜜罐被攻擊,那麼它就會成為攻擊者下一步攻擊的跳板,構建和維護它們是極為耗時的。目前在國內外的主要蜜罐產品有DTK,空系統,BOF,SPECTER,HOME-MADE蜜罐,HONEYD,SMOKEDETECTOR,BIGEYE,LABREA TARPIT,NETFACADE,KFSENSOR,TINY蜜罐,MANTRAP,HONEYNET十四種。
最為常見的高交互蜜罐往往被放置在一種受控環境中,如防火牆之後。藉助於這些訪問控制設備來控制攻擊者使用該蜜罐啟動對外的攻擊。這種架構的部署和維護十分的復雜,而且這種類型的蜜罐還要求對防火牆有一個恰當的過濾規則庫。同時還要求配合IDS的功能,要求IDS的簽名資料庫進行更新,且要不停監視蜜罐的活動。它為攻擊提供的交互越多出錯的地方就越多。一旦進行了正確的實現,高交互度的蜜罐就能夠最大程度的洞察攻擊者。例如想在一個Linux蜜罐上運行一個FTP伺服器,那麼你見里一個真正的Linux系統來運行FTP服務。這種解決方案優勢是雙重的,首先,你能夠捕獲大量信息。這可以通過給攻擊者提供真實的系統與之交互來實現,你能夠了解到攻擊者的整個攻擊行為,從新的工具包到IRC的會話的整個過程。高交互的第二個優勢是對攻擊者如何攻擊不是假設,它們提供一個能夠捕獲行為的開放的環境,高交互度解決方法將使得我們能學到以外的攻擊行為,例如:一個蜜罐在一個非標準的IP協議上捕獲密碼後門命令。然而,這也增加了蜜罐的風險,因為攻擊者能夠用這些真實的操作系統來攻擊非蜜罐系統。結果,要採用附加技術來組織對非蜜罐系統的攻擊。高交互蜜罐雖然優於前兩種交互蜜罐,但是開發和維護過於復雜。