利用樹莓派構建低成本分散式蜜罐系統
2021.10.20
終於實現了各地辦公區!在總公司部署一臺控制端,使用樹莓派+淘汰PC安裝節點端,其中辦公區分別模擬員工辦公筆記本路由器,印表機部署響應的服務,後續計劃增加雲主機,模擬OA,SSH,網頁郵件登入口,資料庫幾個常見服務,上線第一天就發現若干內網掃描,基本都是銷售電腦,大部分是病毒,有兩個比較嚴重是勒索軟體,幸好發現的早。
Ps:發現hfish掃描感知頁面資料不區分被掃描和蜜罐主機主動發出的請求,加了官方群,別人告知是個bug。
背景資訊
本人從事製造業,具體行業就不說了,公司在全國10個省會和直轄市有售後處2個省份有分公司,員工流動性很大,有時候客戶來也要提供網路,關鍵是沒有訪客網路,IT就5個人負責網路建設,之前在網路安全唯一的投入是防火牆,最近老闆要求加強內部網路安全感知,重點是:不加人沒預算!
具體做事
在同學群裡面問了下,在大廠搬磚的同學建議先找個免費蜜罐試試,github不知道最近為啥上不去了,在搜狗上找到一個國人做的蜜罐hfish,官網logo有點海王的感覺。
奇怪的是安裝了預設捕捉不到任何攻擊,看了文件才發現還要下載服務包和部署節點,這裡不看文件真的不知道。頭疼,讓我哪裡找機器裝節點。。。。。亂點介面猛然發現支援arm,拿出自己吃灰的2個樹莓派做小白鼠的確可以跑起來,過了一週,看程式還在跑還挺穩定。。。
考慮辦事處面積不大員工也不多,考慮用樹莓派做蜜罐部署主機,在淘寶上看了下3B系列的260塊一片,如果買12個店主還大方承諾送了12張8Gsd卡,再加上12個USB電源插頭和USB線,成本大概300*12塊。為避免廣告嫌疑,我就不截圖了,大家到淘寶上找很多。
給老大看了下方案和我自己弄的實驗環境,覺得可行,但讓我只買10個樹莓派只給辦事處,考慮到分公司人多機器多,把2個分公司的樹莓派換成公司淘汰的桌上型電腦,保證穩定還能降低成本(老大就是老大!)
說幹就幹,淘寶下單快遞到了拆箱就不說了,需要提醒各位,千萬不要買雜牌子的sd卡,我收貨後才發現送的8g卡讀寫速度很不穩定!最後加錢換了sandisk16g,耽誤了好幾天!
先用NOOBS給sd卡裝系統,插入10張sd卡到樹莓派並啟動,web登入控制端生成一句話安裝命令,下面是重點!是我從老大那裡用一杯奶茶學來的絕技,使用SecureCRT在多臺主機上一次性批量執行命令:
哈哈,剛執行完有些節點就已經上線了,給各個節點分門別類配置了模板,感覺很有成就感。
裝好以後同事們都過來圍觀,在公司試執行幾天覺得沒問題了,發給各地分公司,告訴他們只要插電源和網線就行,別的不用管。
沒幾天分公司的節點陸陸續續都上線了,下面是真實內網捕獲效果圖:
下面是真實的網際網路雲環境效果圖:
跑了一段時間老大還比較滿意,分公司的兩個pc節點也上線了,今年7月份在雲上又部署了一個linux節點,雲節點遭受的攻擊明顯比內網多,攻擊方法也比較多樣,再觀察下。
Hfish支援配置信箱給自己發告警郵件,我用騰訊郵箱配成功了,在公司信箱裡做了規則,來信會分配到指定目錄。
威脅情報是幹啥的沒配,好像沒什麼影響。
Ps:後來知道是幹啥的了,去這個網站註冊一個賬號給一個key,填上去在管理介面可以顯示攻擊IP別人已經識別的資訊,發現只有在雲環境有用,內網沒用。
已知問題
強烈建議看下文件!好幾次卡住了,看了文件才知道怎麼回事。
1、登入埠在4433,一開始以為是80,怎麼也打不開,程式安裝的時候也沒提示!登入用的https挺好,但是不知道為什麼瀏覽器顯示一個NET::ERR_CERT_AUTHORITY_INVALID錯誤,搜了下說是SSL證書問題,不太懂,反正點繼續訪問就行。
2、出廠預設使用者名稱密碼是admin/HFish2021,另外瀏覽器無法記錄登入使用者名稱密碼,每次都要輸入。
3、新裝的管理端一定要去服務管理頁面更新下,不知道是我網路問題還是hfish網路問題,個別時候會出現錯誤,多更新幾次就行了。
4、管理端本身沒有蜜罐能力,必須要裝節點,不過我發現節點可以和管理端裝在一臺機器上。
5、節點裝好了必須要配置模板,因為節點要應用模板才可以啟動蜜罐服務。
6、一個節點當時只能模擬五個蜜罐(現在可以配置10個了)。
如果對免費社群型蜜罐感興趣的話,可以去https://hfish.io/#/這個網站看看,他們還有官方群,有問題可以隨時在裡面問,挺nice!
基本就這些吧。