Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
EC2とCloudWatchで始める高対話型ハニーポット運用
Search
Hiroto Sasagawa
July 09, 2023
Technology
0
580
EC2とCloudWatchで始める高対話型ハニーポット運用
Hiroto Sasagawa
July 09, 2023
Tweet
Share
More Decks by Hiroto Sasagawa
See All by Hiroto Sasagawa
IP Anycastとリバースプロキシ
nagutabby
0
440
HSTSについて調べた
nagutabby
0
410
第1回 AWS勉強会
nagutabby
0
570
第1回 GNU/Linux勉強会
nagutabby
0
530
第2回 GNU/Linux勉強会
nagutabby
0
450
第3回 GNU/Linux勉強会
nagutabby
0
520
DNSを標的とする攻撃
nagutabby
0
470
Other Decks in Technology
See All in Technology
Ruby で作る大規模イベントネットワーク構築・運用支援システム TTDB
taketo1113
1
210
プロダクトマネージャーが押さえておくべき、ソフトウェア資産とAIエージェント投資効果 / pmconf2025
i35_267
2
590
Playwrightのソースコードに見る、自動テストを自動で書く技術
yusukeiwaki
13
5k
Challenging Hardware Contests with Zephyr and Lessons Learned
iotengineer22
0
130
寫了幾年 Code,然後呢?軟體工程師必須重新認識的 DevOps
cheng_wei_chen
1
1.1k
ML PM Talk #1 - ML PMの分類に関する考察
lycorptech_jp
PRO
1
740
AWS Trainium3 をちょっと身近に感じたい
bigmuramura
1
130
Uncertainty in the LLM era - Science, more than scale
gaelvaroquaux
0
810
法人支出管理領域におけるソフトウェアアーキテクチャに基づいたテスト戦略の実践
ogugu9
1
210
学習データって増やせばいいんですか?
ftakahashi
1
270
20251209_WAKECareer_生成AIを活用した設計・開発プロセス
syobochim
5
1.4k
ログ管理の新たな可能性?CloudWatchの新機能をご紹介
ikumi_ono
1
570
Featured
See All Featured
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
3.2k
Stop Working from a Prison Cell
hatefulcrawdad
273
21k
YesSQL, Process and Tooling at Scale
rocio
174
15k
Done Done
chrislema
186
16k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
9
1k
VelocityConf: Rendering Performance Case Studies
addyosmani
333
24k
Speed Design
sergeychernyshev
33
1.4k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
196
70k
Context Engineering - Making Every Token Count
addyosmani
9
490
Six Lessons from altMBA
skipperchong
29
4.1k
We Have a Design System, Now What?
morganepeng
54
7.9k
Scaling GitHub
holman
464
140k
Transcript
EC2とCloudWatchで始める SSHハニーポット運⽤ 笹川 尋翔
Amazon EC2(Elastic Compute Cloud) • インターネット経由でコンピューティングリソースを 利⽤できるサービス • 性能要件や利⽤⽤途ごとに様々なインスタンスを選択 •
EBS(Elastic Block Store)と呼ばれるブロックストレージを組み 合わせて利⽤
Amazon CloudWatch • AWSのサービスなどのアプリケーションを モニタリングできるサービス • ログやメトリクスをCloudWatchのエンドポイントへ送信する ことでマネジメントコンソール上でデータを可視化
ハニーポット(honeypot) • 悪意のある攻撃を受けやすいようにハードウェアや ソフトウェアを設定 • 攻撃者を特定、あるいは攻撃⼿法を分析するシステム • 低対話型: OSやコマンドなどをエミュレート •
⾼対話型: 実際のOSやインスタンスを使⽤
アーキテクチャ • VPC(Virtual Private Cloud) • プライベートサブネット • インターネットGW •
ルートテーブル • t3a.microインスタンス • Elastic IPアドレス
アーキテクチャ 1. VPCにインターネットGWをアタッチ 2. ルートテーブルにインターネットGWを登録 3. EC2インスタンスをプライベートサブネットに配置 4. EC2インスタンスにElastic IPをアタッチ
EC2インスタンスの設定 • 実⾏されたコマンドをrsyslogでログに記録するように設定 • /etc/ssh/sshd_config • PermitRootLoginをyesに変更 • PasswordAuthenticationをyesに変更 •
sudo systemctl reload sshでssh.serviceをリロード
EC2インスタンスの設定 • CloudWatch Agentをインストール • EC2のログやメトリクスを取得するためのソフトウェア • CloudWatch Agentのjson形式の設定ファイルを対話的に⽣成
/opt/aws/amazon-cloudwatch-agent/bin/config.json
CloudWatchでログを表⽰ • auth.log • ログイン認証を試⾏した際の • タイムスタンプ • 送信元グローバルIPアドレス •
⼊⼒されたユーザ名 • ⼊⼒されたパスワード • 認証の可否(success, fail) • commands.log • コマンドが実⾏された際の • タイムスタンプ • コマンドを実⾏したユーザ名 • 実⾏されたコマンド
auth.log
commands.log
今後の課題 • ハニーポットを植えたのに攻撃が来る頻度が極端に少ない • nmapコマンドでpingを使ったポートスキャンができないから? • pingはICMPを使う • ICMPのインバウンド通信を許可していなかった •
CloudWatchのグラフによるデータの可視化
nagutabby
taketo1113
i35_267
yusukeiwaki
iotengineer22
cheng_wei_chen
lycorptech_jp
bigmuramura
gaelvaroquaux
ogugu9
ftakahashi
syobochim
ikumi_ono
eileencodes
hatefulcrawdad
rocio
chrislema
addyosmani
sergeychernyshev
soudai
skipperchong
morganepeng
holman
