本章为该系列的第8篇,也是事前准备阶段的第8篇。之所以蜜罐单独拿出来讲,是因为平时不怎么起眼的蜜罐,在演练期间却特别耀眼,特别是互联网蜜罐。
内网蜜罐主要应对的威胁是横向移动,所以内网蜜罐最需要关注的是覆盖率,要确保探针尽可能多的覆盖各个网段。同网段内不必大范围部署,1至2台就够,IP尽量配置低地址,这样攻击队在内网扫描的时候会优先触碰到蜜罐系统。与互联网区相比,内网的攻击要少的多,适合使用低交互蜜罐。我们曾经使用过OpenCannary开源蜜罐,Python编写的,容易进行功能扩展。更多蜜罐推荐可参考下文,预算充足的话也可采购商业蜜罐:https://blue.y1ng.org/0x7_honeypots/
一些HIDS产品还能提供微蜜罐的功能,可以开启蜜罐端口、蜜罐文件,这样可以基于HIDS的覆盖率形成更大的蜜网。
互联网侧更适合使用高交互蜜罐,在系统的选择上可以复制真实的业务系统,也可以使用蜜罐产品中现成的模板。
既然对外开放,就是为了让攻击队访问的,可以达到吸引火力、溯源反制的目的。根据我们实际部署过的情况,互联网蜜罐可以部署在以下几个位置:
此类蜜罐直接部署到企业内部机房,需要申请互联网IP和端口,将蜜罐系统映射出去。一定要注意蜜罐要单独新建一个隔离的网络区域,防止蜜罐系统被攻陷后,以此为跳板攻击真实的业务系统。为了让蜜环境看起来更真实,在这个隔离的蜜罐网络区域里还可以部署了多个蜜系统,当攻击队尝试横向移动的时候可以看到更多的系统,不至于很快就识别出是蜜环境,也可以进一步吸引火力,让攻击队把大量的时间浪费在这个环境里,还可以结合蜜罐的能力对攻击行为进行溯源。
还有一类蜜罐是用于反制的,将反制木马部署在蜜系统上,设置下载按钮引诱攻击队安装,或者将木马放置在系统里容易被找到的地方,比如桌面、root目录等。
如果是采购的商业蜜罐产品,一般都会有后台管理系统,最好将后台管理页面放到另一个隔离的网络环境中,防止攻击队拿下蜜罐权限后发现后管,判断出自己在蜜罐环境中。
通过VPN可访问的系统属于间接面向互联网开放的,同时VPN本身也是被攻击的对象。曾经的一次演练准备工作中,为了检验VPN的安全性,我们搭建了VPN蜜罐,在互联网上开放了一个VPN入口,克隆了一些删除生产数据的真实业务系统,让整个VPN内的环境看起来更真实,拨入蜜罐VPN的人员可以访问这些蜜系统。
同样,需要为VPN蜜罐建立隔离的网络环境,可以和DMZ区蜜罐复用同一个网段。
在VPS上部署云蜜罐有以下好处:
搭建云蜜罐需要申请一个容易被攻击队爆破的子域名(比如用oa.xxx.com仿造OA系统,用email.xxx.com仿造邮箱系统),将VPS配置为域名解析的IP,这样就完成了流量牵引配置。
还需要为我们的蜜系统配置https证书,不然会因为没有工信部备案无法通过域名访问。
综合上文的内容,总结一下我们在实战中蜜罐体系的建设:内网蜜罐在每个网段都部署了探针,部署HIDS的主机开启了蜜端口。dmz区通过互联网可直接访问的蜜罐挂了三个,一个用于吸引火力,一个用于反制,一个是VPN环境,同网段里还配置了多个内网和VPN蜜系统,从而建设成为一张蜜网。公有云上部署了一台云蜜罐,仿冒了一个有登录功能的业务系统。
我个人觉得,内网可以使用低交互蜜罐作为日常安全运营的一个手段,互联网的高交互蜜罐只适合重保期间临时使用,平时就下线关闭,以缩小互联网系统的风险暴露面。企业可以根据自身的需求选择性建设互联网蜜罐,如果溯源反制不是重点,完全可以不建,毕竟蜜罐放到互联网上本身就是风险。
如果这篇文章你只能记住一件事的话,那请记住:内网蜜罐看密度,外网蜜罐看仿真度。
--------- END ---------
原文始发于微信公众号(十九线菜鸟学安全):【红蓝/演练】-事前准备(8)之蜜罐建设
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2732399.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论