AWSのLightSailが少し安くなっていた。 RAM 1Gでも$5なのでとてもおすすめ。 前回のハニーポットはRAM 500Mで制限がとても多かったのでいっそのこと最初から作り直した。 作るのに4日くらいかかった。その代わりSystemdやrsyslogとか若干わかるようになった。うれしい。 便宜上、suricataとufwもハニポってことにしてるけど許してくださいな。 構成 AWSのVPSに各ハニーポット等を設置して、それらをS3にいったんアップロード。 自宅のPCにインストールしたELKにてログを収集して分析する。 前回と比べてufwとdionaeaが追加された。 使用したもの Suricata IDSとして動作。 アクセスを一般的なシグネチャにマッチさせることでどのような攻撃が来たかをパッとで判断できる。 Dionaea 様々なポートに対するアクセスをキャプチャできるハニーポット
TL;DR AWSのマネージドサービスを活用して低インタラクション型のハニーポット環境を作った コストも月々約$15で運用可能 コマンド3回ぐらいで誰でもデプロイできるようになっているので興味があれば使ってみてくれよな 背景 AWSに置く低インタラクション型ハニーポット(synに対してsynackだけ返して後は送られてくる通信を監視するやつ)、今ならシャキッとスパッと実装できるんだろうなあああと過去のクソ実装を思い出して悶絶してる— Masayoshi MIZUTANI (@m_mizutani) 2019年2月1日 という感じで昔クラウド上で運用していたハニーポットのことをふと思い出したのですが、仕事で多少AWSのサービスを理解した今だったらもうちょっとまともに実装できそうだよなぁ、実装するならインスタンスで完結するんじゃなくてクラウドのマネージドサービスちゃんと使って消耗しない作りにし
EC2上にハニーポットを設置してKibanaで分析できるようにする (lurker + fluentd + elasticsearch + kibana)AWSFluentdElasticsearchKibanahoneypot 概要 備忘録を兼ねてAWS上のEC2に低インタラクション型のハニーポット(実際に侵入などはさせずに攻撃データの収集をするハニーポット)の構築方法をまとめます。構成としては以下のようになります。 最初、ハニーポットを運用していた時はいちいちスクリプトを書いていろいろ調べていましたが、いい加減面倒くさくなってきたのでありもののインターフェースとしてKibanaを使うことにしました。 インスタンスはやや特殊な構成で、マネージメントとして使うデフォルトNICのeth0の他に、観測用のNIC(eth1)とグローバルアドレスを追加して観測データに余計なデータを混ぜないようにし
前回のあらすじ 3年ほど前にAWS上にハニーポット環境を作成しました。 大雑把に説明すると、(主に)AWSのEC2インスタンスあてにどのようなexploitが飛んでくるのか?というのを知るために、 EC2インスタンスに管理用、および観測用のElastic IP addressを設定し、そこでハニーポットを動かす ハニーポットで取得した生データ(pcap)をS3に保存し、Lambdaで分析する 分析結果は CloudWatch Logs Insights で閲覧できるようにする という構成にしていました。これはこれでマネージドサービスを使った面白い構成だったと当時は思っていたのですが、実際に動かしてみるといくつかの課題があり、最終的には運用を止めてしまいました。 前回の課題 1) Elastic IP addressの制限でスケールしにくい EC2は自前で2つ以上のネットワークインターフェー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く