背景信息
博主所在的是制造业,具体行业就不说了,公司在全国10个省会和直辖市有售后处2个省份有分公司,员工流动性很大,有时候客户来也要连网,关键是没有访客网络,IT就5个人负责网络建设,之前在网络安全唯一的投入是防火墙,最近老板要求加强内部网络安全感知,重点是:不加人,还没预算!
具体做事
在同学群里面问了下,在大厂搬砖的同学建议先找个免费蜜罐试试,github不知道最近为啥上不去了,在搜狗上找到一个国人做的蜜罐hfish,官网logo有点海王的感觉。
奇怪的是安装了默认捕捉不到任何攻击,看了文档才发现还要下载服务包和部署节点,这里不看文档真的不知道。头疼,让我那里找机器装节点。。。乱点界面猛然发现支持arm,拿出自己吃灰的2个树莓派做小白鼠的确可以跑起来,过了一周,看程序还在跑还挺稳定。。。
考虑办事处面积不大员工也不多,考虑用树莓派做蜜罐部署主机,在淘宝上看了下3B系列的260块一片,如果买12个店主还大方承诺送了12张8G sd卡,再加上12个USB电源插头和USB线,成本大概300*12块。为避免广告嫌疑,我就不截图了,大家到淘宝上找很多。
给老大看了下方案和我自己弄的实验环境,觉得可行,但让我只买10个树莓派只给办事处,考虑到分公司人多机器多,把2个分公司的树莓派换成公司淘汰的台式机,保证稳定还能降低成本(老大就是老大!)
说干就干,淘宝下单快递到了拆箱就不说了,需要提醒各位,千万不要买杂牌子的sd卡,我收货后才发现送的8g卡读写速度很不稳定!最后加钱换了sandisk 16g,耽误了好几天!
先用NOOBS给sd卡装系统,插入10张sd卡到树莓派并启动,web登录控制端生成一句话安装命令,下面是重点!是我从老大那里用一杯奶茶学来的绝技,使用SecureCRT在多台主机上一次性批量执行命令:
哈哈,刚执行完有些节点就已经上线了,给各个节点分门别类配置了模板,感觉很有成就感。
装好以后同事们都过来围观,在公司试运行几天觉得没问题了,发给各地分公司,告诉他们只要插电源和网线就行,别的不用管。
没几天分公司的节点陆陆续续都上线了,下面是真实内网捕获记录:
下面是真实的互联网云环境捕获记录:
跑了一段时间老大还比较满意,分公司的两个pc节点也上线了,在云上也部署了一个linux节点,云节点遭受的攻击明显比内网多,攻击方法也比较多样,在观察下。
Hfish支持配置信箱给自己发告警邮件,我用腾讯邮箱配成功了,在公司信箱里做了规则,来信会分配到指定目录。
威胁情报是干啥的没配,好像没什么影响。
Ps:后来知道是干啥的了,去这个网站注册一个账号给一个key,填上去在管理界面可以显示攻击IP别人已经识别的信息,发现只有在云环境有用,内网没用。
已知问题
强烈建议看下文档!好几次卡住了,看了文档才知道怎么回事。
1、登录端口在4433,一开始以为是80,怎么也打不开,程序安装的时候也没提示!登录用的https挺好,但是不知道为什么浏览器显示一个NET::ERR_CERT_AUTHORITY_INVALID错误,搜了下说是SSL证书问题,不太懂,反正点继续访问就行。
2、出厂默认用户名密码是admin/HFish2021,另外浏览器无法记录登录用户名密码,每次都要输入。
3、新装的管理端一定要去服务管理页面更新下,不知道是我网络问题还是hfish网络问题,个别时候会出现错误,多更新几次就行了。
4、管理端本身没有蜜罐能力,必须要装节点,不过我发现节点可以和管理端装在一台机器上。
5、节点装好了必须要配置模板,因为节点要应用模板才可以启动蜜罐服务。
6、一个节点只能模拟五个蜜罐。
基本就这些吧。
标签:分公司,树莓,12,蜜罐,一穷二白,小菜,节点,sd 来源: https://www.cnblogs.com/threatbook/p/15224702.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。