現実逃避でハニーポットを構築した話
はじめに
研究室で「(報告できるような)進捗ないな〜明日の進捗報告どうすっかな〜」と嘆いていたところ突如ハニーポットを構築したくなったので構築してみました.
サーバの準備
サーバの用意から始めます.
クーポンの利用
某ハックでさくらのデータセンターを訪問したときにもらったクーポンがあったのでさくらのクラウドを利用しました.
クーポンの登録手順は下記のサイトが参考になります.
manual.sakura.ad.jp
サーバの作成
用意するサーバのスペックは後述します.
サーバの作成手順は下記のサイトが参考になります.
manual.sakura.ad.jp
SSHなどの設定
下記のサイトを参考にするといいと思います. qiita.com
自分の環境はMacなのでいつもはssh-copy-id
でサクッとやっちゃいます.
ハニーポットの選定
ハニーポットと言っても様々なものがありますが今回は構築が簡単かつ可視化機能が優れているという点からT-Potを選びました.
T-Pot 17.10 - Multi-Honeypot Platform rEvolution
T-Potのコンセプト
- Ubuntu Server 16.04 LTSをベースにしたネットワークインストラーである
- ハニーポットデーモンとサポートコンポーネントはdockerでコンテナ化されている
- 同一のネットワークインターフェイスで複数のハニーポットデーモンを実行できる
- conpot, cowrie, dionaeaなどのdocker化されたハニーポットのイベントをELK Stackでいい感じに収集して可視化できる
サーバの必要スペック(for T-Pot)
- 4[GB] RAM (6-8[GB] recommended)
- 64[GB] SSD (128[GB] SSD recommended)
- Network via DHCP
- A working, non-proxied, internet connection
T-Potの導入
基本的に公式サイトの手順に従うだけですが下記のサイトでは日本語で解説されています. qiita.com
しかし,上記のサイトのKibana Web UIへのアクセスの項目は情報が古くなっているため注意が必要です(T-Pot 17.10からSSHでトンネルを張る必要がなくなりました).
現在ではhttps://<your.ip>:64297
にアクセスするだけで Kibana Web UI を使用することができます.
Just open a web browser and access and connect to
https://<your.ip>:64297
, enter
- user: user you chose during the installation
- pass: password you chose during the installation
可視化
Kibana Web UI のスクリーンショットです.
最後に
思ってたよりも簡単にハニーポットを構築することができて驚きました.
次は生のデータを分析してみたいと思います.