• はじめに
• サーバの準備
  • クーポンの利用
  • サーバの作成
  • SSHなどの設定
• ハニーポットの選定
  • T-Potのコンセプト
  • サーバの必要スペック(for T-Pot)
• T-Potの導入
• 可視化
• 最後に

はじめに

研究室で「(報告できるような)進捗ないな〜明日の進捗報告どうすっかな〜」と嘆いていたところ突如ハニーポットを構築したくなったので構築してみました．

サーバの準備

サーバの用意から始めます．

クーポンの利用

某ハックでさくらのデータセンターを訪問したときにもらったクーポンがあったのでさくらのクラウドを利用しました．
クーポンの登録手順は下記のサイトが参考になります． manual.sakura.ad.jp

サーバの作成

用意するサーバのスペックは後述します．
サーバの作成手順は下記のサイトが参考になります．
manual.sakura.ad.jp

SSHなどの設定

下記のサイトを参考にするといいと思います． qiita.com

自分の環境はMacなのでいつもはssh-copy-idでサクッとやっちゃいます．

ハニーポットの選定

ハニーポットと言っても様々なものがありますが今回は構築が簡単かつ可視化機能が優れているという点からT-Potを選びました．
T-Pot 17.10 - Multi-Honeypot Platform rEvolution

T-Potのコンセプト

• Ubuntu Server 16.04 LTSをベースにしたネットワークインストラーである
• ハニーポットデーモンとサポートコンポーネントはdockerでコンテナ化されている
• 同一のネットワークインターフェイスで複数のハニーポットデーモンを実行できる
• conpot, cowrie, dionaeaなどのdocker化されたハニーポットのイベントをELK Stackでいい感じに収集して可視化できる

サーバの必要スペック(for T-Pot)

• 4[GB] RAM (6-8[GB] recommended)
• 64[GB] SSD (128[GB] SSD recommended)
• Network via DHCP
• A working, non-proxied, internet connection

T-Potの導入

基本的に公式サイトの手順に従うだけですが下記のサイトでは日本語で解説されています． qiita.com

しかし，上記のサイトのKibana Web UIへのアクセスの項目は情報が古くなっているため注意が必要です(T-Pot 17.10からSSHでトンネルを張る必要がなくなりました)．

現在ではhttps://<your.ip>:64297にアクセスするだけで Kibana Web UI を使用することができます．

Just open a web browser and access and connect to https://<your.ip>:64297, enter

• user: user you chose during the installation
• pass: password you chose during the installation

可視化

Kibana Web UI のスクリーンショットです．

最後に

思ってたよりも簡単にハニーポットを構築することができて驚きました．
次は生のデータを分析してみたいと思います．