背景信息
博主所在的是制造业,具体行业就不说了,公司在全国10个省会和直辖市有售后处2个省份有分公司,员工流动性很大,有时候客户来也要连网,关键是没有访客网络,IT就5个人负责网络建设,之前在网络安全唯一的投入是防火墙,最近老板要求加强内部网络安全感知,重点是:不加人,还没预算!
具体做事
在同学群里面问了下,在大厂搬砖的同学建议先找个免费蜜罐试试,github不知道最近为啥上不去了,在搜狗上找到一个国人做的蜜罐hfish,官网logo有点海王的感觉。
奇怪的是安装了默认捕捉不到任何攻击,看了文档才发现还要下载服务包和部署节点,这里不看文档真的不知道。头疼,让我那里找机器装节点。。。乱点界面猛然发现支持arm,拿出自己吃灰的2个树莓派做小白鼠的确可以跑起来,过了一周,看程序还在跑还挺稳定。。。
考虑办事处面积不大员工也不多,考虑用树莓派做蜜罐部署主机,在淘宝上看了下3B系列的260块一片,如果买12个店主还大方承诺送了12张8G sd卡,再加上12个USB电源插头和USB线,成本大概300*12块。为避免广告嫌疑,我就不截图了,大家到淘宝上找很多。
给老大看了下方案和我自己弄的实验环境,觉得可行,但让我只买10个树莓派只给办事处,考虑到分公司人多机器多,把2个分公司的树莓派换成公司淘汰的台式机,保证稳定还能降低成本(老大就是老大!)
说干就干,淘宝下单快递到了拆箱就不说了,需要提醒各位,千万不要买杂牌子的sd卡,我收货后才发现送的8g卡读写速度很不稳定!最后加钱换了sandisk 16g,耽误了好几天!
先用NOOBS给sd卡装系统,插入10张sd卡到树莓派并启动,web登录控制端生成一句话安装命令,下面是重点!是我从老大那里用一杯奶茶学来的绝技,使用SecureCRT在多台主机上一次性批量执行命令:
哈哈,刚执行完有些节点就已经上线了,给各个节点分门别类配置了模板,感觉很有成就感。
装好以后同事们都过来围观,在公司试运行几天觉得没问题了,发给各地分公司,告诉他们只要插电源和网线就行,别的不用管。
没几天分公司的节点陆陆续续都上线了,下面是真实内网捕获记录:
下面是真实的互联网云环境捕获记录:
跑了一段时间老大还比较满意,分公司的两个pc节点也上线了,在云上也部署了一个linux节点,云节点遭受的攻击明显比内网多,攻击方法也比较多样,在观察下。
Hfish支持配置信箱给自己发告警邮件,我用腾讯邮箱配成功了,在公司信箱里做了规则,来信会分配到指定目录。
威胁情报是干啥的没配,好像没什么影响。
Ps:后来知道是干啥的了,去这个网站注册一个账号给一个key,填上去在管理界面可以显示攻击IP别人已经识别的信息,发现只有在云环境有用,内网没用。
已知问题
强烈建议看下文档!好几次卡住了,看了文档才知道怎么回事。
1、登录端口在4433,一开始以为是80,怎么也打不开,程序安装的时候也没提示!登录用的https挺好,但是不知道为什么浏览器显示一个NET::ERR_CERT_AUTHORITY_INVALID错误,搜了下说是SSL证书问题,不太懂,反正点继续访问就行。
2、出厂默认用户名密码是admin/HFish2021,另外浏览器无法记录登录用户名密码,每次都要输入。
3、新装的管理端一定要去服务管理页面更新下,不知道是我网络问题还是hfish网络问题,个别时候会出现错误,多更新几次就行了。
4、管理端本身没有蜜罐能力,必须要装节点,不过我发现节点可以和管理端装在一台机器上。
5、节点装好了必须要配置模板,因为节点要应用模板才可以启动蜜罐服务。
6、一个节点只能模拟五个蜜罐。
基本就这些吧。