蜜罐与局域网的安全问题探讨与分析



      关于蜜罐和内网的安全问题,sosly先生的硕士论文蜜罐和内网的安全问题从0到1,共7篇,

非常详细地介绍了蜜罐对内网安全的意义和使用MHN的实践。对内部网而言,常见的攻击手段

有网络嗅探、资产探测/端口扫描、暴力破解、拒绝服务、ARP攻击、DNS劫持、漏洞利用(red

is未授权访问、jboss配置不当导致的rce等)等,且内部网攻击手段随着服务种类的增加而不断

增加。现在我们要做的,就是发现网络中的不正常行为和攻击。相对于外联网,外联网不需

要收集0day,不需要分析恶意IP地址,对接威胁情报等等,所以我们不需要高交互性的蜜罐,

低交互性的内网蜜罐能够满足我们的所需。所谓低交互蜜罐,就是利用模拟服务、监听端口

连接和统计数据包,能够实现对端口扫描、暴力破解等情况的检测。
 
 
 
在企业中,业务是非常复杂的,安全也是非常薄弱的。且网络安全相对于外部网络更为被动,

因此,构建一种适合企业内部使用的低交互式蜜罐具有一定的价值和意义。去年,该公司有

几台机器中了勒索病毒,因为有很多内网机器/个人电脑,查找了很长时间都不能确定是否还

有其他机器被感染,后来又部署了一个OpenFenary,该公司有很多OpenFenary的日志,查

找了数台中毒的内网机器。
从企业自身出发,尝试分析下一个好的并且适合企业自身的内网

低交互蜜罐,应满足以下几个条件.
 
 
重写公共协议/服务,能捕捉TCP/UDP全端口未知恶意扫描;能够支持分布式部署,覆盖生

产内部网络和办公内部网络,节点覆盖面尽可能广;准确的日志统计,统一集中收集,数

据格式简单,便于后续日志分析和页面显示;便于二次开发;正面页面显示直观清晰,并

支持邮件/钉钉报警功能;前面提到的蜜罐,我们选择了几个蜜罐平台(支持多种服务)来构

建测试和对比,看看是否符合我们的基本所需。这次测试选用OpenFenary,T-POT,MHN

,Artillery,Heralvested和XAish。
 
 
OpenFenary
 
OpenCanowe是一个依托于命令行式的蜜罐服务系统,它没有UI页面,基本的操作都是利

用命令行进行的,利用修改配置文件进行配置。它的基本实现原理也是利用设置不同的监

听端口,模拟不同的流行服务,并在底层实现端口监听。
在OpenFenary基础上,pirogu

e师傅去年实现了Web端的后台管理.
分享: