Upgrade to Pro — share decks privately, control downloads, hide ads and more …

その T-Pot 本当に必要ですか?

Nao
June 30, 2018
Technology
0
1.5k

その T-Pot 本当に必要ですか?

2018年6月30日に行われた「第4回 ハニーポッター技術交流会」の発表資料です.
@nsec_life
#hanipo_tech
https://hanipo-tech.connpass.com/event/90337/

Nao

June 30, 2018
Tweet

More Decks by Nao

See All by Nao
Pass-the-Challenge - Credential Guardの新たなバイパス手法
n_etupirka
0
610
LTE 通信のパケットキャプチャ環境構築 / LTE Simulation
n_etupirka
0
2k
Channel-based MitM Attacks using CSAs
n_etupirka
3
2k

Other Decks in Technology

See All in Technology
『登記所備付地図XMLデータ』に触れてみよう〜法務省が公開した大規模オープンデータとは一体何なのか〜 / What is moj map xml
sakaik
0
150
テスト技法を使ったテストケースの表現方法/How to express test cases using test techniques
shimashima35
0
300
AstroNvim を使おう!
ybrliiu
0
180
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
10
24k
エンジニアのためのマネジメント入門/Introduction to Management for Software Engineers
dskst
1
350
nlp2023 位置属性を有しない事物に対する地理的特定性の分析
takashiinui
0
140
Cloudflare 基本のキ
katzueno
0
120
データの民主化はじめました 俺たちの民主化はこれからだ
akki_megane
0
160
スタートアップだからこそ考えるフロントエンドのテスト戦略
yoshinagaiwnl
4
570
数年先の金融DX/AI活用
abenben
1
290
TSN(Time-Sensitive Networking)を環境構築して遊んでみた
iotengineer22
0
780
Zennを支える Google Cloud の技術
wadayusuke
0
120

Featured

See All Featured
VelocityConf: Rendering Performance Case Studies
addyosmani
317
22k
Learning to Love Humans: Emotional Interface Design
aarron
263
38k
GraphQLの誤解/rethinking-graphql
sonatard
39
8k
Reflections from 52 weeks, 52 projects
jeffersonlam
340
18k
Imperfection Machines: The Place of Print at Facebook
scottboms
255
12k
The Illustrated Children's Guide to Kubernetes
chrisshort
23
43k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
227
16k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
22
1.8k
What’s in a name? Adding method to the madness
productmarketing
PRO
13
2k
No one is an island. Learnings from fostering a developers community.
thoeni
12
1.6k
4 Signs Your Business is Dying
shpigford
171
20k
Making Projects Easy
brettharned
102
4.9k

Transcript

  1. 2018.06.30
    第4回 ハニーポッター技術交流会
    @nsec_life
    その T-Pot 本当に必要ですか?

    View Slide

  2. 自己紹介
    第4回 ハニーポッター技術交流会 2
    •小松 奈央 (@nsec_life)
    •セキュリティエンジニア (2018.04〜)
    •趣味 : Honeypot / Linux etc...
    •ハニーポッター歴 : 9ヶ月
    •ブログ
    •https://nsec.hatenablog.com

    View Slide

  3. LT について
    第4回 ハニーポッター技術交流会 3
    •対象者
    •これからハニーポット運用を検討している人
    •運用するハニーポットに T-Pot を考えている人
    •T-Pot の扱いに困っている人
    •注意事項
    •発表内容は業務とは一切関係ありません
    •特定のサービスを批判するものではありません
    •あくまで一個人としての意見ということを念頭に置
    いてお聞きください

    View Slide

  4. T-Pot とは
    第4回 ハニーポッター技術交流会 4
    •ドイツテレコム社が開発する Multi-Honeypot Platform
    •Docker Container で構築されている
    画像引用元 : http://dtag-dev-sec.github.io/mediator/feature/2017/11/07/t-pot-17.10.html

    View Slide

  5. T-Pot を使うメリット
    第4回 ハニーポッター技術交流会 5
    •導入・保守が容易
    •数種類のハニーポットが導入済み
    •ELK によるログ可視化環境が導入済み
    •セキュリティレベルが高い
    •コンテナによるハニーポットのカプセル化
    •各コンテナは揮発性で,毎日初期化される
    初心者でも始めやすい! ←(これ本当?)

    View Slide

  6. T-Pot のシステム要件
    第4回 ハニーポッター技術交流会 6
    •T-Pot の機能
    •Dionaea / Cowrie / Glastopf / honeytrap /
    Conpot / mailoney etc...
    •ELK による可視化 / IPS による監視
    •その他様々な機能をサポート
    •システム要件
    •4 GB RAM (6-8 GB recommended)
    •64 GB SSD (128 GB SSD recommended)

    View Slide

  7. どこに設置しよう...?
    第4回 ハニーポッター技術交流会 7
    •パッと思いつくハニポの設置場所といえば,
    1.VPS (Virtual Private Server)
    2.Cloud Computing Service
    3.自宅ネットワーク

    View Slide

  8. さくら VPS を利用した場合
    第4回 ハニーポッター技術交流会 8
    これでも足りないらしい...
    (グラフの表示に時間がかかる・
    タイムアウトしてしまう等)
    これくらい必要...?
    画像引用元 : https://vps.sakura.ad.jp/specification/

    View Slide

  9. AWS を利用した場合
    第4回 ハニーポッター技術交流会 9
    •AWS で T-Pot を運用しており,金額を詳細に
    見積もっている方がいました
    •初年度 : 39,917円 (月額平均 3,326円)
    •2年目以降 : 45,462円 (月額平均 3,788円)
    •詳しくはこちら↓
    • https://graneed.hatenablog.com/entry/2018/06/10/030525

    View Slide

  10. 自宅ネットワークに設置...?
    第4回 ハニーポッター技術交流会 10
    •VPS もクラウドも月 4,000円程度はかかりそう
    初めてのハニポにこんなに払えない!
    •じゃあ自宅ネットワークに設置?
    •自宅ネットワークを外部に公開する必要あり
    •公開用回線を契約?複数ルータでセグメント分割?
    •新たなセキュリティホールを生む可能性
    あれ?セキュリティレベルの高さは?

    View Slide

  11. ハニポ初心者の悩み
    第4回 ハニーポッター技術交流会 11
    •4ヶ月前の自分
    •ハニポのログは分析しなきゃ意味がない!
    •でもどのログを分析したらいいのか分からない;;
    •T-Pot の場合
    •ハニポの種類が多い
    → すべてのログを分析するのは難しい
    → ログの取捨選択も難しい
    •可視化環境がある
    → ログを見なくても分析したつもりになる
    初心者の手に余る機能が多い

    View Slide

  12. WOWHoneypot
    T-Pot の拡張性について
    第4回 ハニーポッター技術交流会 12
    •T-Pot でハニポ運用を開始!
    •順調にログの収集 & 分析ができた^^
    •そろそろハニポを追加してみたい...
    •Glastopf を WOWHoneypot に変更
    Glastopf
    Ubuntu 16.04 LTS
    Docker Engine
    mailoney
    Dionaea
    Conpot
    Cowrie
    honeytrap
    ELK

    View Slide

  13. T-Pot の拡張性について
    第4回 ハニーポッター技術交流会 13
    •Q. こんなときはどうする...?
    •Glastopf と WOWHoneypot をどっちも動かしたい
    •Web 特化型ハニーポットを2つ以上動かしたい
    •A. T-Pot を増やす
    •もちろん現実的ではない
    •A. 追加ハニポ用の VPS を借りる
    •追加したハニポには可視化環境ないけど大丈夫?
    •追加したハニポのログを既存 T-Pot の ELK に流す
    ことはできそう(多分)

    View Slide

  14. 言いたいこと
    第4回 ハニーポッター技術交流会 14
    •ハニーポットは目的ではなく手段
    •ハニーポット目的は?
    •ログ分析力の向上?
    •脆弱性と攻撃手法の理解?
    •これらの目的に T-Pot が最適とは限らない
    •T-Pot は素晴らしいシステム
    •様々なサービスに対する攻撃の統計データを観測し
    たいといった目的には最適

    View Slide

  15. Mailoney
    Glastopf
    よくある構成例
    第4回 ハニーポッター技術交流会 15
    ログ管理 & 可視化サーバ
    ハニポサーバ1
    WOWHoneypot
    Cowrie
    Dionaea
    ハニポサーバ2
    WOWHoneypot
    Cowrie
    Dionaea
    ハニポサーバ3
    Dionaea

    View Slide

  16. よくある構成例
    第4回 ハニーポッター技術交流会 16
    ログ管理 & 可視化サーバ
    ハニポサーバ1
    WOWHoneypot
    Cowrie
    Dionaea
    Docker Engine
    ハニポサーバ2
    Glastopf
    mailoney
    Dionaea
    Docker Engine

    View Slide

  17. まとめ
    第4回 ハニーポッター技術交流会 17
    •T-Pot は素晴らしいシステム
    •どちらかというと上級者向け (個人的な意見)
    •ローコストでもハニポ運用はできる
    •もちろん可視化環境も
    •無理なく楽しいハニポライフを!

    View Slide

  18. Thank you. Any Questions ?

    View Slide