ハニーポットの育てかた

Transcript

1. 2018೥9݄29೔ ୈ5ճ ϋχʔϙολʔٕज़ަྲྀձൃදࢿྉ ϋχʔϙοτͷҭ͔ͯͨ @morihi_soc

2. ϋχʔϙοτͷҭ͔ͯͨ 
   XIPBNJ w ৿ٱ
   ࿨ত !NPSJIJ@TPD
   
   w ຊۀ͸ωοτϫʔΫηΩϡϦςΟΤϯδχΞɾΞφϦετ
   w झຯͰϋχʔϙοτΛӡ༻͢Δϋχʔϙολʔ
   

   w ϒϩάˠ
   IUUQTXXXNPSJIJTPDOFU
   w ϋχʔϙολʔٕज़ަྲྀձ
   ओ࠵ऀ
   w IUUQTIBOJQPUFDIDPOOQBTTDPN 2 ࠓ·Ͱʹ͓ੈ࿩ʹͳͬͨΠϕϯτ(Ұ෦) ɾ*5,FZT ݱ4FD$BQ
   ɾωοτϫʔΫύέοτΛಡΉձ Ծ
   ɾ/*4$
   αΠόʔϋϩ΢Οϯ
   ɾ*OUFSOFU8FFL
   
   
   
   
   
   
   ɾ)BSEFOJOH
   ɾTTNKQ
   
   
   
   ɾ"*4FD
   
   
   ɾ4UVEZ$PEF
   ɾULUL
   ηΩϡϦςΟษڧձ
   ɾ૯ؔ੢αΠόʔηΩϡϦςΟ-5େձ
   ɾ08"41
   /BHPZB
   
   
   
   ɾ*P54FD+1 ग़൛ͨ͠ຊ΍ٕज़ಉਓࢽ NEW 2018೥8݄ˣ

3. ϋχʔϙοτͷҭ͔ͯͨ ͓඼ॻ͖ w ϋχʔϙοτ͸͡Ί·ͨ͠
   ʙͦͷޙʙ
   w ָ͘͠ӡ༻͢Δํ๏
   w QBTUFCJO
   w υϝΠϯΛׂΓ౰ͯΔ
   

   w ৵ೖݕ஌γεςϜ
   w ·ͱΊ 3

4. ϋχʔϙοτͷҭ͔ͯͨ ϋχʔϙοτ͸͡Ί·ͨ͠
   ʙͦͷޙʙ w ϋχʔϙοτͷ؀ڥΛߏங͢Δ͜ͱΛઐ໳༻ޠͰ
 ʮϋχʔϙοτΛ২͑Δʯͱ͍͏ɻ
   w ϋχʔϙοτΛӡ༻͢Δਓϋχʔϙολʔ
   w ت͹͍͜͠ͱʹɺϋχʔϙοτΛӡ༻͢Δ
 ϋχʔϙολʔ͕૿Ճ܏޲ʹ͋Γ·͢ɻ
   

   w ϒϩά΍
   4/4
   ͳͲͰϋχʔϙοτͰಘͨϩάͷ
 ෼ੳ݁ՌͳͲΛެ։ͯ͘͠Ε͍ͯΔਓ΋͍Δɻ
   w ެ։͞Εͨ৘ใ͸ࢀߟʹͳΓ·͢ɻ
 ͋Γ͕ͱ͏͍͟͝·͢ 4

5. ϋχʔϙοτͷҭ͔ͯͨ w ͜Μͳ೰ΈΛ͓࣋ͪͷํ͕͍Δ͔΋ʜ
   w ϋχʔϙοτΛ২͑ͯຬ଍ͨ͠
   w ϩάऩू͕௙Βͳ͍
   w ͋Δఔ౓ɺܾ·ͬͨ߈ܸ͔͠དྷͳ͍
   w

   Ͳ͏΍ͬͯ෼ੳ͢Ε͹͍͍͔Θ͔Βͳ͍
   w ߈ܸख๏ͷௐ΂ํ͕Θ͔Βͳ͍ 5 ϋχʔϙοτ͸͡Ί·ͨ͠
   ʙͦͷޙʙ →ͦͯ͠์ஔ΁ɾɾɾ

6. ϋχʔϙοτͷҭ͔ͯͨ ϋχʔϙοτ͸͡Ί·ͨ͠
   ʙͦͷޙʙ w ์ஔ͞ΕͨϋχʔϙοτΛઐ໳༻ޠͰ
 ʮϋχʔϙοτ͕ރΕΔʯͱ͍͏ɻ
   w ͔ͤͬ͘ϋχʔϙολʔʹͳͬͨͷͳΒɺ
 ָ͘͠ӡ༻͍ͨ͠Ͱ͢ΑͶɻ 6

7. ϋχʔϙοτͷҭ͔ͯͨ ϋχʔϙοτΛָ͘͠ӡ༻͢Δํ๏ w ϩάΛऩू͢Δ্Ͱɺ΋ͬͱ΋ॏཁͩͱࢥ͏͜ͱ 7 ϋχʔϙοτͷଘࡏએݴ

8. ϋχʔϙοτͷҭ͔ͯͨ ଘࡏએݴ w ΍Δ͜ͱ͸؆୯ɻϋχʔϙοτΛ২͑ͨϗετͷ
 *1ΞυϨε΍υϝΠϯ໊Λग़͚ͩ͢ɻ
   w ࠓճ͸ͭ঺հ͠·͢ɻ
   w QBTUFCJO
   ʹͨΕࠐΉ
   w

   υϝΠϯΛҭͯΔ 8

9. ϋχʔϙοτͷҭ͔ͯͨ ଘࡏએݴ
   ͦͷɿQBTUFCJO w QBTUFCJO
   ͸ςΩετΛެ։Ͱ͖Δ
   8FC
   αΠτ
   w ࢖͍ํ͸ඇৗʹ؆୯
   w Ϣʔβొ࿥͸ෆཁɻͨͩ͠ޙ͔ΒهࣄΛ࡟আͰ͖Δ Α͏ʹొ࿥͓͍ͯͨ͠ํ͕͍͍ɻ
   w

   ͱΓ͑͋͑ͣ
   *1
   ΞυϨεΛ
 ॻ͍͓͚ͯͩ͘Ͱ΋ޮՌ͋Γ 9 IUUQTQBTUFCJODPN

10. ϋχʔϙοτͷҭ͔ͯͨ ϋχʔϙολʔͷใࠂྫ 10 Ҿ༻ݩɿAWS Security JAWS ܦࡁతʹϋχʔϙοτͷϩά෼ੳΛ͢ΔͨΊͷϕετϓϥΫςΟεʁ
 https://www.slideshare.net/MasamitsuMaehara/aws-security-jaws ஫໨

11. ϋχʔϙοτͷҭ͔ͯͨ QBTUFCJO
    Λ࢖͏ͱ͖ͷ஫ҙ఺ w ςΩετΛެ։͢ΔͱɺΞΫηεͯ͘͠Δਓ͕݁ߏ ͍Δɻ ΫϩʔϦϯάͷ৔߹΋͋Δ 
 ˠςετͨ͠ͱ͖͸࣌ؒʹਓఔ౓Ӿཡ͞Εɺ ਓΞΫηε͠ʹ͖ͨɻ
    w

    ϩάऩूՄೳͳঢ়ଶͰॻ͖ࠐΜͩํ͕ྑ͍
    w ϋχʔϙοτͷӡ༻Λऴྃͨ͠ͱ͖ͷͨΊʹ
 QBTUFCJOͷهࣄΛ࡟আͰ͖ΔΑ͏ʹ͓ͯ͘͜͠ͱɻ
 
 ˠϋχʔϙοτͷ*1ΞυϨε౳͕ɺࣗ෼ͷ؅ཧ͔Β ์Εͯ΋৘ใ͕࢒͍ͬͯΔͷ͸Α͘ͳ͍ɻ 11

12. ϋχʔϙοτͷҭ͔ͯͨ ଘࡏએݴ
    ͦͷɿυϝΠϯΛҭͯΔ w ࣾձਓϋχʔϙολʔͳΒ͹ɺαʔόͷϨϯλϧͩ ͚Ͱͳ͘ɺυϝΠϯΛܖ໿ͯ͠ϋχʔϙοτͷ
    *1
    
 ΞυϨεʹඥ͚ͮͯӡ༻͍ͯ͠Δ͸ͣɻ
    w ͔ͤͬ͘ͳͷͰɺඥ͚ͮͨυϝΠϯΛҭͯͯΈΑ͏ɻ w جຊతͳߟ͑ํ͸
    4&0
    ͱಉ͡ɻ͔͠͠ϋχʔϙο

    τ͸ͦ͜·Ͱ౒ྗ͠ͳͯ͘ྑ͍ɻ 12

13. ϋχʔϙοτͷҭ͔ͯͨ Ϙοτ͕ߟ͑ͯͦ͏ͳ͜ͱ w ݕࡧαΠτͰɺݕࡧͯ͠ग़ͯ͘Δ8FCαΠτ͸߈ܸ ͢ΔՁ஋͕͋Γͦ͏ɻ͔ͩΒ߈ܸ͢Δᶃ
    w ݕࡧͨ͠αΠτ͔ΒϦϯΫ͞ΕͨαΠτ΋ɺ߈ܸ͢ ΔՁ஋͕͋Γͦ͏ɻ͍ͭͰʹ߈ܸ͢Δᶄ
    w ߈ܸͷ༏ઌॱҐ͸ᶃᶄ
    

    w ϋχʔϙολʔͷࢹ఺Ͱߟ͑Δͱ
    w ᶃΛϋχʔϙοτͰӡ༻͢Δͷ͸େมɻ
 ͦ͜Ͱී௨ͷ
    8FC
    αΠτͱͯ͠ӡ༻͢Δɻ
    w ᶄΛϋχʔϙοτͱͯ͠ӡ༻͢Δͷ͸؆୯ɻ
 ᶃ͔ΒϦϯΫ͓͚͑ͯ͞͠͹ྑ͍ɻ 13

14. ϋχʔϙοτͷҭ͔ͯͨ ೥ͷ࣮ફه 14 ձ৔ݶΓ NO PHOTO ձ৔ݶఆ

15. ϋχʔϙοτͷҭ͔ͯͨ ೥ͷ࣮ફه 15 ձ৔ݶΓ NO PHOTO ձ৔ݶఆ

16. ϋχʔϙοτͷҭ͔ͯͨ υϝΠϯΛҭͯΔͱ͖ͷ஫ҙ఺ w ௕͘ӡ༻͢Δ΄Ͳ߈ܸΛऩू͠΍͘͢ͳΔ͕ɺ
 ϋχʔϙοτͱݟഁΒΕͯ͠·͏Մೳੑ΋͋Δɻ
    w ϋχʔϙοτͷαʔό୅ۚʹՃ͑ͯɺυϝΠϯͷҡ ࣋අ͕͔͞Ήɻ
    w ΋͠΋ͷ͜ͱΛߟ͑ͯɺϋχʔϙοτ͕εύϜϝʔ

    ϧͷ౿Έ୆ʹ͞Εͳ͍Α͏ʹ
    %/4
    ͷ
    TQG
    Ϩίʔυ ͰʮBMMʯΛࢦఆ͓ͯ͘͠ͱ҆৺Ͱ͖Δɻ 16 ʢࢀߟʣ SPF Ϩίʔυ຤ඌͷ ”~all” ͱ ”-all” ͷҧ͍ https://www.nisc.go.jp/conference/suishin/adviser/dai5/pdf/sankou.pdf

17. ϋχʔϙοτͷҭ͔ͯͨ ϩά෼ੳͷ࿩ w QBTUFCJO
    ΍υϝΠϯΛҭͯΔ͜ͱͰɺ߈ܸΛऩू͠ ΍͘͢ͳΓ·͢ɻ
    w ͦ͏͢Δͱɺࠓ·Ͱݟͨ͜ͱ΋ͳ͍߈ܸ΋ࠞͬͯ͟ ͖·͢ɻ
    w ͜͏͍͏ͱ͖͸ʮ৵ೖݕ஌γεςϜʯͷྗΛआΓΔ

    ͱָ͘͠ͳΓ·͢ɻ 17

18. ϋχʔϙοτͷҭ͔ͯͨ ৵ೖݕ஌γεςϜ w ৵ೖݕ஌γεςϜ*%4 *OUSVTJPO
    %FUFDUJPO
    4ZTUFN ͸ɺ߈ܸͷಛ௃Λγάωνϟͱͯ͠ఆ͓͖ٛͯ͠ɺ ؂ࢹର৅ͷωοτϫʔΫʹྲྀΕΔ௨৴ͱҰகͨ͠ͱ ͖ʹΞϥʔτΛग़͢γεςϜɻ
    w Φʔϓϯιʔειϑτ΢ΣΞͩͱ
    4OPSU
    ͕༗໊
    

    w 51PU
    Λӡ༻͍ͯ͠Δਓ͸
    4VSJDBUB
    ͕͓ೃછΈ 18 Snort https://snort.org/ Suricata https://suricata-ids.org/

19. ϋχʔϙοτͷҭ͔ͯͨ ໨ͰݟͯΘ͔Γ΍͘͢ w *%4
    ͸ૉ੖Β͍͠ɻ߈ܸΛݟ͚ͭͯ͘ΕΔɻ
    w ͔͠͠ɺΞϥʔτ͸ਓؒͷ໨ʹ༏͘͠ͳ͍ ɻ
    w *%4
    ͷΞϥʔτΛՄࢹԽ͢ΔγεςϜ͕ཉ͍͠ɻ 19

    * ͨͩ͠ύέοτ޷͖ͳਓ͸আ͘ɻ

20. ϋχʔϙοτͷҭ͔ͯͨ 4OPSCZ w 4OPSU
    ΍
    4VSJDBUB
    ͷϩάΛՄࢹԽͯ͘͠ΕΔγες ϜͰ͸
    4OPSCZ
    ͕Φεεϝɻ 20 Snorby https://github.com/Snorby/snorby

21. ϋχʔϙοτͷҭ͔ͯͨ 4OPSCZ
    ʹ͓͚Δϩάͷݟ͑ํ 21

22. ϋχʔϙοτͷҭ͔ͯͨ ͨͱ͑͹ɺ͜Μͳ؂ࢹ؀ڥ͸͍͔͕ w ߈ܸΛड͚Δ
    w ϋχʔϙοτ 808)POFZQPU
    w ߈ܸΛ؂ࢹ͢Δ
    

    w *%4 4OPSU
    w 4OPSUͷϩάΛసૹ͢Δ
    w #BSOZBSE
    w ߈ܸͷϩάΛՄࢹԽ͢Δ
    w 4OPSCZ 22 Snorby ͸ɺ௚઀ Snort ͷϩά ΛݟΕͳ͍ɻͦ͜ͰBarnyard2 Ͱ Snort ͷϩάΛ Snorby ༻ͷ σʔλϕʔε΁సૹΛ͢Δɻ Snorby ͸σʔλϕʔεͷϩά ΛՄࢹԽͯ͠ɺϒϥ΢β͔Β ϩάΛ֬ೝ͢Δ͜ͱ͕Ͱ͖Δɻ

23. ϋχʔϙοτͷҭ͔ͯͨ ؂ࢹ؀ڥུ֓ਤ 23

24. ϋχʔϙοτͷҭ͔ͯͨ σϞ ձ৔ݶఆ 24

25. ϋχʔϙοτͷҭ͔ͯͨ ·ͱΊ w ϋχʔϙοτΛ͸͡Ίͨਓ͸ϩάऩूͱϩά෼ੳʹ ࠔΔ͔΋͠Εͳ͍ɻ
    w ϋχʔϙοτͷଘࡏએݴ͸େ੾ɻ
    w QBTUFCJO
    Λ࢖ͬͨΓɺϋχʔϙοτʹׂΓ౰͍ͯͯ ΔυϝΠϯΛҭͯΔͱ߈ܸΛूΊ΍͍͢ɻ
    

    w ϋχʔϙοτͱ
    *%4
    ΛฒߦՔಈͤ͞Δ͜ͱͰɺҧͬ ͨϩάͷݟ͑ํ͕Ͱ͖Δɻ
    w ඟᰈɺࣗ෼ͷ޷͖ͳελΠϧͰָ͠Ί͹͍͍ͱࢥ͏ɻ 25

26. ϋχʔϙοτͷҭ͔ͯͨ )BQQZ
    )POFZQPU 26 ←2018೥6݄9೔ ৽॓ޚԓ େԹࣨͰࡱӨ ৯஬২෺Ͱ͸ͳ͍ɻ ͓͠·͍