需求分析
现阶段家庭网络采用了哪些安全措施来应对安全威胁,并保障家庭的数据安全的?网络层面,目前采用的是pfSense,隔离各大区域。应用层面,引入社区版长亭雷池WAF,防护一部分Web应用的恶意攻击,然而业务层面的攻击尚处于短板期。主机层面,则采用了开源的wazuh,用作最后一公里的威胁监测。
上面介绍的这三款免费的安全产品,主要侧重于被动防护或监控,它们等待攻击或恶意活动的发生并做出响应。而蜜罐系统为主动引诱型,它故意展示一些易受攻击的特性,吸引恶意用户进入并进行操作,从而捕获恶意用户的行为和攻击技术。
为什么选择HFish
免费、简单、安全的蜜罐产品。HFish是一款社区型免费蜜罐,具有轻量级检测能力,低误报率,可作为生产本地威胁情报的优质来源。
安全、敏捷的威胁感知节点。HFish被广泛应用于感知失陷主机横向移动、账号外泄、扫描和探测行为、私有情报生产,HFish的多种告警输出形式与其他安全日志、系统日志相结合,可极大拓展检测视野。
方案简述
我的家庭NAS私有云主要涉及两个大的区域,一个可信内网区,主要对内提供服务,另一个则是非可信DMZ区(非军事化区),主要对外公开网站。本系列从内网失陷检测和外网威胁感知两个场景出发,来构建我的家庭网络欺骗防御系统,主动抓取潜在的安全威胁,以便后续联动阻断措施并实现自动化。
内网板块,我把客户端节点安排在web网关入口,它更容易吸引恶意用户,各个区域都可能存在流量汇聚于此,是一个天然的活靶子,是部署蜜罐客户端节点的绝佳位置。
外网板块,只涉及一个DMZ区域,假装将一些家庭常用的文件服务、堡垒机、知识库、源码仓库,如群晖NAS等,以蜜罐的形式给它暴露出去,为了更好的融入业务中,我将这些蜜罐系统安排独立的域名,且网络链路也与正常的服务保持一致。同时将蜜罐系统混合在公开的导航页里边,让恶意用户容易找到它,当然,更高阶的恶意用户会通过威胁情报平台来挖掘到我的这些子域名,反正就是要让这些坏人能够找到这些地址就可以了。
控制台配置预览
本次演示所布置的蜜罐包含了1个服务端和2个客户端节点,每个客户端节点配置20个蜜罐系统,累计40个蜜罐系统。
攻击模拟
打开部署好的蜜罐系统,其实就是一个很简单的仿冒网页,输入数据并提交,即可触发安全告警。
查看攻击大盘
企微告警
HFish支持多种告警方式,我这里选取了企微机器人告警。
告警内容字段非常丰富,可以看出源地址IP能够正常取到,符合安全运营要求。
结语
HFish的官方文档非常详尽,有各种最佳实践的建议,各位感兴趣的小伙伴可以尝试去部署,如果涉及对外公开蜜罐系统,蜜罐服务端最好放在不受信任区域,严格做好网络隔离。除此之外,各位小伙伴有更好的蜜罐推荐吗?
原文始发于微信公众号(内存泄漏):安全建设:如何给家庭NAS搭建一套免费社区型蜜罐HFish(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论