大量部署Sensor並以中控伺服器監控相關Log,就可以及時發覺進階持續性滲透攻擊,並提早發現蠕蟲。對此,本文將Raspberry Pi當作Honeypot,用來收集網路中的各種異常行為,並架設伺服器讓Honeypot把收集到Log整合至網頁中,方便管理員隨時監控。
以筆者的設定而言,「http://10.100.33.66」是MHN的管理頁面,而「http://10.100.33.66:3000/」則是Honeymap的網址,若有攻擊產生時,可以查看攻擊的來源地區。
設定完成後,將會詢問是否與Splunk或ELK做整合,可提供告警郵件,請依現況進行選擇。安裝和設定完成後,可使用ps指令以確認MHN是否已在執行中,執行結果如圖3所示。
|
▲圖3 確認MHN是否正常執行。 |
也可以透過「supervisorctl status」指令來確認目前有哪些模組正在執行中,執行結果如圖4所示。
|
▲圖4 使用supervisorctl指令確認模組執行狀態。 |
架設Honeypot
選用Raspbian Jessie Lite的原因是不需要桌面環境及提升開機速度。將之寫入Pi的記憶卡並用之開機後,就可以開始安裝Honeypot的相關套件。
MHN支援的Honeypot種類很多,名單如下:Snort、Suricata、Dionaea、Conpot、Kippo、Amun、Glastopf、Wordpot、ShockPot、p0f、Elastichoney,可以透過MHN網頁伺服器來提供安裝指令。
考慮到之後維護的便利性及可擴充性,在登入Pi後,記得開啟SSH供遠端管理,並延伸其磁碟容量。相關設定方式,可參考以下連結:
https://www.raspberrypi.org/documentation/remote-access/ssh/
https://www.raspberrypi.org/documentation/configuration/raspi-config.md
目前MHN針對Pi的部分,提供的是Dionaea的安裝Script。先登入在上一步驟中建立的MHN的頁面,然後點選Deploy,在Select Script中選擇Raspberry Pi - Dionaea,如圖5所示。此時,在Deploy Command部分會提供安裝的指令。
|
▲圖5 在MHN Deploy頁面中選擇Raspberry Pi - Dionaea。 |
目前MHN支援的作業系統及搭配的Honeypot程式,如圖6所示。
|
▲圖6 MHN支援的作業系統及對應的Honeypot。 |
緊接著,將Deploy Command欄位中的指令複製並登入Pi,然後以root權限執行該指令:
安裝完成後,可以使用netstat指令確認Dionaea的執行情形,可以看出目前已與MHN Server的10000 Port進行連線,並且也開啟了一些常見的Port,例如445、5060、5061、134、3306、21、1433等Port,這些都是常見且有漏洞的Port,讓惡意程式可以入侵,如圖7所示。Honeypot可取得攻擊軟體採取的行為,藉以取得其行為模式,此為Honeypot的典型運作模式,指令為:
|
▲圖7 使用netstat指令確認Dionaea執行情形。 |
驗證部署成果
回到MHN Server的網頁,再點選Sensors,可以看到先前部署的Sensor已主動連回至Server,如圖8所示。點選最前方的圾垃桶圖示後,可將之刪除。在Name欄位內可重新命名為易於辨識的名稱,而最後方的Attack下有數字,代表目前被攻擊的數量,點選它可查看細節,含括針對此Sensor的所有攻擊。
|
▲圖8 測試部署成果。 |
若有之前部署的Sensor,亦可透過Sensors選單中的Add sensor新增,如圖9所示。
|
▲圖9 手動新增Sensor。 |
接著找一台機器對Sensor進行nmap scan,以確認Sensor是否會將相關Log回傳至MHN Server。在此可以看出,之前在Sensor上執行Honeypot模擬出來的Port,透過nmap都可以掃描到。掃描指令為「nmap –p 1-65535 10.100.33.9」,掃描結果如圖10所示。
|
▲圖10 使用nmap掃描Sensor進行驗證。 |