首页 > 网络安全, 网络攻防 > 伪装蜜罐

伪装蜜罐

2016年11月13日 发表评论 阅读评论 4,500 次浏览

关于伪装技术,今天又继续看了几篇文章,以这篇文章:
http://www.itworldcanada.com/article/deception-technology-enhances-honeypots-for-cyber-defence/380544
为起点,又搜寻出不少相关信息。

1,国外这方面的公司更多:
Attivo: https://attivonetworks.com/
Allure Security Technology: https://www.alluresecurity.com/
CyberTrap: http://www.cybertrap.com/
Cymmetria: http://www.cymmetria.com/
ForeScout: https://www.forescout.com/
GuardiCore: http://www.guardicore.com/
Hexis Cyber Solutions: https://www.hexiscyber.com/
Illusive Networks:
LogRhythm: https://logrhythm.com/
Percipient Networks: https://strongarm.io/
Rapid7:
Shape Security:
Specter:
TrapX Security: http://trapx.com/
TopSpin Security:

看来专注于这个领域的公司还真多。

2,专业的伪装产品更复杂,模拟的环境更真实,例如会包括终端、网络、应用程序、数据等各种相关层次的模拟伪装。
蜜罐是伪装技术的典型应用,采用蜜罐进行安全防御和情报收集可以追溯到15年以前。有商业蜜罐,也有更多的基于开源的蜜罐:
Snort: https://www.snort.org/
Dionaea: https://github.com/rep/dionaea
Conpot: http://conpot.org/
Shiva:
Nepenthes:
The Honeynet Project: https://www.honeynet.org/,非营利安全研究机构,致力于研究最新的攻击和开发开源安全工具来提高网络安全。
Modern Honey Network (MHN): http://threatstream.github.io/mhn/

开源蜜罐的缺点在于难以管理和规模部署,而在这方面,商业产品能做得更好,例如与SIEM安全信息和事件管理系统进行集成。
但开源领域也做出了不少努力,例如上面提到的MHN。MHN的主要目标是简化蜜罐部署,同时进行数据的收集和整理。我参考这里:http://threatstream.github.io/mhn/进行了实际部署,一起看看。

3,系统环境【注意:这里有坑,请跳到第7步】

lenky@lenky-virtual-machine:~$ cat /etc/issue
Ubuntu 16.04.1 LTS n l

lenky@lenky-virtual-machine:~$ uname -a
Linux lenky-virtual-machine 4.4.0-31-generic #50-Ubuntu SMP Wed Jul 13 00:07:12 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

4,下载源码包

lenky@lenky-virtual-machine:~$ wget https://github.com/threatstream/mhn/zipball/master
lenky@lenky-virtual-machine:~$ unzip master
lenky@lenky-virtual-machine:~$ cd threatstream-mhn-0474d0d/

5,安装

lenky@lenky-virtual-machine:~/threatstream-mhn-0474d0d$ sudo ./install.sh 

出错:

下列软件包有未满足的依赖关系:
 python-dev : 依赖: python2.7-dev (>= 2.7.11-1~) 但是它将不会被安装
 python-pip : 依赖: python-pip-whl (= 8.1.1-2) 但是 8.1.1-2ubuntu0.2 正要被安装
              推荐: python-all-dev (>= 2.6) 但是它将不会被安装
              推荐: python-setuptools 但是它将不会被安装
              推荐: python-wheel 但是它将不会被安装
E: 无法修正错误,因为您要求某些软件包保持现状,就是它们破坏了软件包间的依赖关系。

解决:

lenky@lenky-virtual-machine:~/threatstream-mhn-0474d0d$ sudo apt-get install aptitude
lenky@lenky-virtual-machine:~/threatstream-mhn-0474d0d$ sudo aptitude install python-dev python-pip

要先选择n,不接受保持解决方案,再选择y,接受降级解决方案。
再执行sudo ./install.sh进行安装,等待,可能还会遇到其他错误,例如pip下载超时等,我遇到问题的解决办法总结:
a) sudo时加上-H,便于pip可以利用缓存,否则提示:

The directory '/home/lenky/.cache/pip/http' or its parent directory is not owned by the current user and the cache has been disabled. Please check the permissions and owner of that directory. If executing pip with sudo, you may want sudo's -H flag.
The directory '/home/lenky/.cache/pip' or its parent directory is not owned by the current user and caching wheels has been disabled. check the permissions and owner of that directory. If executing pip with sudo, you may want sudo's -H flag.

如果要反复执行./install.sh进行重复安装,上面这个能够避免重复下载。

b) 看懂安装脚本,避免重复执行某些动作,例如我这里在进行install_hpfeeds.sh时反复几次出错,每次重新执行./install.sh都会重新安装下载libev和hpfeeds,所以直接把里面的相关语句进行注释掉,避免多余动作,加快重试速度。

c) 出错:

+ pip install -e git+https://github.com/rep/evnet.git#egg=evnet-dev
Obtaining evnet from git+https://github.com/rep/evnet.git#egg=evnet-dev
  Updating ./env/src/evnet clone
Collecting pyev>=0.5.3-3.8 (from evnet)
  Using cached pyev-0.9.0.tar.gz
    Complete output from command python setup.py egg_info:
    Traceback (most recent call last):
      File "<string>", line 1, in <module>
      File "/tmp/pip-build-SSAIqn/pyev/setup.py", line 56, in <module>
        check_version(python_version, min_python_versions[major], "Python{0}".format(major))
      File "/tmp/pip-build-SSAIqn/pyev/setup.py", line 40, in check_version
        if StrictVersion(current_version) < StrictVersion(minimum_version):
      File "/usr/lib/python2.7/distutils/version.py", line 40, in __init__
        self.parse(vstring)
      File "/usr/lib/python2.7/distutils/version.py", line 107, in parse
        raise ValueError, "invalid version number '%s'" % vstring
    ValueError: invalid version number '2.7.11+'
    
    ----------------------------------------
Command "python setup.py egg_info" failed with error code 1 in /tmp/pip-build-SSAIqn/pyev/

官方当前未解决的问题:https://github.com/rep/evnet/issues/8
想办法解决上面的问题,但继续进行安装时又有其他问题,各种坑,算了,根据官方issue来看:https://github.com/threatstream/mhn/issues/286
目前mhn没法很好的支持Ubuntu 16.04。

7,利用ubuntu-14.04.1-server-amd64.iso安装了一个Ubuntu 14.04的新系统:

lenky@ubuntu:~$ uname -a
Linux ubuntu 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:08 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
lenky@ubuntu:~$ cat /etc/issue
Ubuntu 14.04.1 LTS \n \l

新安装好后,把threatstream-mhn-0474d0d.zip拷贝上来,解压后执行:

lenky@ubuntu:~/threatstream-mhn-0474d0d$ sudo -H ./install.sh 

竟然一步到底,无任何错误,最后需要进行几步交互式设置,请记住设置的超级管理员的邮箱和密码:

Superuser email: lenky0401@163.com
Superuser password: 
Superuser password: (again): 

安装OK,果然在一开始就要“选对人”很重要。
注:如果pip安装总是提示超时,建议先设置pip的超时时限和设置下载镜像站点(请自行检查一下镜像站点是否可用):http://blog.csdn.net/dszgf5717/article/details/53138298

建个文件 ~/.pip/pip.conf, 内容如下:
[global]
timeout = 6000
index-url = http://pypi.douban.com/simple/
[install]
use-mirrors = true
mirrors = http://pypi.douban.com/simple/
trusted-host = pypi.douban.com

8,登录web:
nhm安装好后,会通过nginx监听80端口,所以用浏览器打开对应的地址(注意更改IP):

http://192.168.19.130/

然后输入前面设置的邮箱和密码即可进行nhm进行信息查看,当然刚开始是没有数据的。

参考:
http://www.govtech.com/blogs/lohrmann-on-cybersecurity/Free-Open-Source-Security-Tools-Offer-Intelligence-Based-Defense.html
http://www.americanbanker.com/news/bank-technology/deception-may-be-the-best-way-to-catch-cybercriminals-1076667-1.html
https://www.threatstream.com/blog/mhn-modern-honey-network
http://www.freebuf.com/articles/network/111155.html
http://www.freebuf.com/articles/database/109322.html
http://www.2cto.com/article/201505/397719.html

以关键字”Deception technology opensource”进行Google搜索

转载请保留地址:http://www.lenky.info/archives/2016/11/2549http://lenky.info/?p=2549


备注:如无特殊说明,文章内容均出自Lenky个人的真实理解而并非存心妄自揣测来故意愚人耳目。由于个人水平有限,虽力求内容正确无误,但仍然难免出错,请勿见怪,如果可以则请留言告之,并欢迎来讨论。另外值得说明的是,Lenky的部分文章以及部分内容参考借鉴了网络上各位网友的热心分享,特别是一些带有完全参考的文章,其后附带的链接内容也许更直接、更丰富,而我只是做了一下归纳&转述,在此也一并表示感谢。关于本站的所有技术文章,欢迎转载,但请遵从CC创作共享协议,而一些私人性质较强的心情随笔,建议不要转载。

法律:根据最新颁布的《信息网络传播权保护条例》,如果您认为本文章的任何内容侵犯了您的权利,请以Email或书面等方式告知,本站将及时删除相关内容或链接。

  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.