如何进行网站的建设和维护,深圳住房城乡建设局网站首页,如何增加网站的外链,如何用wordpress搭建个人博客目录
0、什么是蜜罐
0.1、蜜罐的定义
0.2、蜜罐的优势
0.3、蜜罐与情报
1、HFish介绍
1.1、设计理念
1.2、HFish架构
1.3、HFish特点
1.4、常见蜜罐场景 2、快速部署
2.1、环境要求
2.2、联网环境#xff0c;一键安装
2.3、安装效果
3、错误排查
3.1、管理端问题…目录
0、什么是蜜罐
0.1、蜜罐的定义
0.2、蜜罐的优势
0.3、蜜罐与情报
1、HFish介绍
1.1、设计理念
1.2、HFish架构
1.3、HFish特点
1.4、常见蜜罐场景 2、快速部署
2.1、环境要求
2.2、联网环境一键安装
2.3、安装效果
3、错误排查
3.1、管理端问题
3.1、节点问题
3.3、蜜罐服务问题 0、什么是蜜罐
0.1、蜜罐的定义 蜜罐 技术本质上是一种对攻击方进行欺骗的技术通过布置一些作为诱饵的主机、网络服务 或者信息诱使攻击方对它们实施攻击从而可以对攻击行为进行捕获 和分析了解攻击方所使用的工具与方法推测攻击意图和动机能够让防御方清晰地了解他们所面对的安全威胁并通过技术和管理手段来增强实际系统的安全防护能力。
0.2、蜜罐的优势 误报少告警准确 蜜罐作为正常业务的 影子 混淆在网络中正常情况下不应被触碰每次触碰都可以视为威胁行为。例如在其它检测型产品中将正常请求误判为攻击行为的误报很常见而对于蜜罐来说几乎不存在正常请求即使有也是探测行为。 检测深入信息丰富 不同于其它检测型安全产品蜜罐可以模拟业务服务甚至对攻击的响应完整获取整个交互的所有内容最大深度的获得攻击者探测行为之后的N个步骤可检测点更多信息量更大。 例如对于SSL加密 或工控环境蜜罐可以轻松伪装成业务得到完整攻击数据。 主动防御预见未来生产情报 在每个企业几乎每分钟都在发生这样的场景潜伏在互联网角落中的攻击者发起一次攻击探测防守方业务不存在安全漏洞IDS告警后事情就不了了之了。 而应用蜜罐型产品后转换为主动防御思路 蜜罐响应了攻击探测诱骗攻击者认为存在漏洞进而发送了更多指令包括从远端地址下载木马程序而这一切不仅被完整记录下来还可以转化为威胁情报供给传统检测设备用于在未来的某个时刻准确检测主机失陷。 可以发现转换为主动防护思路后威胁检测由针对单次、多变的攻击上升到应用威胁情报甚至TTPsTacticsTechniques and Procedures检测。
*失陷指标Indicators of CompromiseIOC 环境依赖少拓展视野 由于是融入型安全产品蜜罐不需要改动现有网络结构并且很多蜜罐是软件形态对各种虚拟和云环境非常友好部署成本低。 蜜罐可以广泛部署于云端和接入交换机下游末梢网络中作为轻量级探针将告警汇聚到态势感知或传统检测设备中分析和展示。
0.3、蜜罐与情报 显而易见蜜罐 是非常准确、稳定和恰当的情报感知探针。 蜜罐最大的价值是诱使攻击者展示其能力和资产再配合误报少信息丰富等一系列优势配合态势感知或本地情报平台可以稳定生产私有威胁情报。
1、HFish介绍
1.1、设计理念 HFish是一款社区型免费蜜罐侧重企业安全场景从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发为用户提供可独立操作且实用的功能通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。 HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性帮助用户降低运维成本提升运营效率。
1.2、HFish架构 HFish采用B/S架构系统由管理端和节点端组成管理端用来生成和管理节点端并接收、分析和展示节点端回传的数据节点端接受管理端的控制并负责构建蜜罐服务。
在HFish中管理端只用于数据的分析和展示节点端进行虚拟蜜罐最后由蜜罐来承受攻击。 在最小化测试的情况您可以直接通过安装管理端通过管理端内的内置节点直接进行蜜罐服务测试。
1.3、HFish特点
HFish当前具备如下几个特点 安全可靠主打低中交互蜜罐简单有效 功能丰富支持基本网络 服务、OA系统、CRM系统、NAS存储系统、Web服务器、运维平台、无线AP、交换机/路由器、邮件系统、IoT设备等40多种蜜罐服务支持用户制作自定义Web蜜罐支持用户进行流量牵引到云蜜网、可开关的扫描感知能力、支持可自定义的蜜饵配置 开放透明支持对接微步在线X社区API、五路syslog输出、支持邮件、钉钉、企业微信、飞书、自定义WebHook告警输出 快捷管理支持单个安装包批量部署支持批量修改端口和服务 跨平台支持Linux x32/x64/ARM、Windows x32/x64平台、国产操作系统、龙芯、海光、飞腾、鲲鹏、腾云、兆芯硬件。
1.4、常见蜜罐场景 2、快速部署
2.1、环境要求
HFish支持的部署主机 HFish采用B/S架构系统由管理端和节点端组成管理端用来生成和管理节点端并接收、分析和展示节点端回传的数据节点端接受管理端的控制并负责构建蜜罐服务。
WindowsLinux X86管理端Server)支持64位支持64位节点端Client支持64位和32位支持64为和32位
HFish内网所需配置 通常来说部署在内网的蜜罐对性能的要求较低接入公网的蜜罐会有更大的性能需求。 针对过往测试情况我们给出两个配置。注意如果您的蜜罐部署在互联网会遭受到较大攻击流量建议提升主机的配置。
管理端节点端建议配置2核4g200G1核2g50G最低配置1核2g100G1核1g50G
注意日志磁盘占用情况受攻击数量影响较大建议管理端配置200G以上硬盘空间。
HFish外网所需配置必须更换mysql数据库 通常说接入公网的蜜罐会有更大的性能需求。 针对过往测试情况我们给出两个配置。注意如果您的蜜罐部署在互联网会遭受到较大攻击流量建议提升主机的配置。
管理端必须更换mysql数据库节点端建议配置5个节点以内4核8g200G。1核2g50G最低配置2核4g100G1核1g50G
注意日志磁盘占用情况受攻击数量影响较大建议管理端配置200G以上硬盘空间。
部署权限要求 管理端对root权限的需求 如果使用官网推荐的install.sh脚本安装需要root权限安装目录会位于opt目录下 如果下载安装包手动安装在默认使用SQLite数据库情况下管理端的部署和使用不需要root权限但如果要替换SQLite改为MySQL数据则MySQL安装和配置需要root权限 节点端对root权限的需求 节点端安装和运行无需root权限但是由于操作系统限制非root权限运行的节点无法监听低于tcp/1024的端口
2.2、联网环境一键安装 特别注意Centos 是我们的原生开发和主力测试系统我们最优推荐各位使用Centos系统进行安装。 当前HFish启动后会有两个进程其中hfish进程为管理进程负责监测、拉起和升级蜜罐主程序管理端进程为蜜罐主程序进程其执行蜜罐软件程序。 Linux版本HFish管理端数据库及配置文件都存储在 /usr/share/hfish 目录下重装时会自动读取目录下的配置和数据。
如果您部署的环境为Linux且可以访问互联网。我们为您准备了一键部署脚本进行安装和配置在使用一键脚本前请先配置防火墙 请防火墙开启4433、4434确认返回success如之后蜜罐服务需要占用其他端口可使用相同命令打开。 firewall-cmd --add-port4433/tcp --permanent #用于web界面启动
firewall-cmd --add-port4434/tcp --permanent #用于节点与管理端通信
firewall-cmd --reload使用root用户运行下面的脚本。 bash (curl -sS -L https://hfish.net/webinstall.sh)完成安装 登陆链接https://[ip]:4433/web/
账号admin
密码HFish2021 2.3、安装效果 本次测试使用Linux下联网环境安装其他环境安装请参考官方手册。 测试环境是我的VPS。 选择1安装和运行HFish 等待安装完毕。
配置VPS的防火墙后可以打开管理界面(注意url后写全部包括web) 自己测试使用SQLite数据库。 首先修改密码因为部署在互联网。 登录以后可以看到节点状态和攻击状态
3、错误排查
3.1、管理端问题 管理端部署完成后访问Web管理页面始终无法打开 解决办法
1、确认浏览器访问地址是 https://[server]:4433/web/注意不可缺少“/web/”这个路径
2、确认管理端进程的运行情况和TCP/4433端口开放情况如果不正常需要重启管理端进程
# 检查 hfish-server的进程是否运行正常
ps ax | grep ./hfish | grep -v grep
# 检查TCP/4433端口是否正常开放
ss -ntpl3、检查管理端主机是否开启了防火墙导致目前无法访问必要情况考虑关闭防火墙 #centos7 检查防火墙状态systemctl status firewalld#centos7 检查防火墙开放端口firewall-cmd --list-ports4、Linux环境使用date命令确认系统时间的准确
5、如果以上都没有问题请将server和client日志提供给我们
节点端日志在安装目录的logs文件夹内文件名为client.log
Linux管理端日志在/usr/share/hfish/log文件夹内文件名为server.log
Windows管理端日志在C:\Users\Public\hfish\log文件夹内文件名为server.log3.1、节点问题 节点状态为红色离线 解决办法
1、检查节点到管理端的网络连通情况以下是几种常见情况
节点每60秒连接管理端的TCP/4434端口一次180秒内连接不上即显示为离线。
刚完成部署或网络不稳定的时候会出现显示为离线。
通常情况等待2~3分钟如果节点恢复绿色在线那蜜罐服务也会从绿色启用变成绿色在线。2、如果确认网络访问正常节点在管理端上始终离线需要检查节点上的进程运行情况。如果进程运行异常需要杀死全部关联进程后重启进程并记录错误日志。
# 检查./client的进程是否运行正常
ps ax | grep -E services|./client | grep -v grep 如果以上都没有问题请将server和client日志提供给我们
节点端日志在安装目录的logs目录内文件名为client.log
Linux管理端日志在/usr/share/hfish/log文件夹内文件名为server.log
Linux管理端日志在C:\Users\Public\hfish\log文件夹内文件名为server.log
Linux节点端后台运行方案
nohup .~/client nohup.out 21
Linux开机自启动方案
echo nohup .~/client nohup.out 21 /etc/rc.local
Linux定时任务方案
echo * * * * * nohup .~/client nohup.out 21 /var/spool/cron/crontabs/root3.3、蜜罐服务问题 节点在线部分蜜罐服务在线部分蜜罐服务离线 可通过触碰状态旁边的问号确认离线原因。 bind:address already in use解决办法
该报错情况往往是因为端口冲突
这个问题常见默认22端口的SSH服务刚启动client的时候服务在线过了一会儿后服务离线。
使用ss -ntpl命令检查该蜜罐服务的端口是否被占用如果被占用建议修改该业务的默认端口。
Windows操作系统上如果用户启用了tcp端口监听大概率会发现TCP 135、139、445、3389端口冲突
这是用于Windows默认占用了这些端口不建议在Windows上监听TCP 135、139、445、3389端口。
Linux操作系统端口冲突解决方案
lsof -i:[port]
kill [pin]
重新启用该端口的蜜罐**变更服务模板后蜜罐新服务访问不到 ** 在HFish当前的产品结构中管理端**永远不会**主动连接节点进行节点配置的变更。
管理端仅负责生成一个配置等待节点每60秒尝试连接管理端拉取。
蜜罐服务被攻击的结果会实时上报到管理端。 以上内容大部分参考HFish官方文档本篇是介绍和安装下篇计划更新详细使用。
