Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
EC2とCloudWatchで始める高対話型ハニーポット運用
Search
Hiroto Sasagawa
July 09, 2023
Technology
600
0
Share
EC2とCloudWatchで始める高対話型ハニーポット運用
Hiroto Sasagawa
July 09, 2023
More Decks by Hiroto Sasagawa
See All by Hiroto Sasagawa
IP Anycastとリバースプロキシ
nagutabby
0
450
HSTSについて調べた
nagutabby
0
410
第1回 AWS勉強会
nagutabby
0
590
第1回 GNU/Linux勉強会
nagutabby
0
540
第2回 GNU/Linux勉強会
nagutabby
0
460
第3回 GNU/Linux勉強会
nagutabby
0
520
DNSを標的とする攻撃
nagutabby
0
470
Other Decks in Technology
See All in Technology
Zephyr(RTOS)でOpenPLCを実装してみた
iotengineer22
0
180
Databricks Lakebaseを用いたAIエージェント連携
daiki_akimoto_nttd
0
130
OPENLOGI Company Profile for engineer
hr01
1
62k
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
cybozuinsideout
PRO
10
77k
"まず試す"ためのDatabricks Apps活用法 / Databricks Apps for Early Experiments and Validation
nttcom
1
120
Goビルドを理解し、 CI/CDの高速化に挑む
satoshin
0
110
Even G2 クイックスタートガイド(日本語版)
vrshinobi1
0
190
VSCode中心だった自分がターミナル沼に入門した話
sanogemaru
0
900
OpenClawでPM業務を自動化
knishioka
2
370
すごいぞManaged Kubernetes
harukasakihara
0
130
【関西電力KOI×VOLTMIND 生成AIハッカソン】空間AIブレイン ~⼤阪おばちゃんフィジカルAIに続く道~
tanakaseiya
0
120
GitHub Actions侵害 — 相次ぐ事例を振り返り、次なる脅威に備える
flatt_security
13
7.4k
Featured
See All Featured
AI: The stuff that nobody shows you
jnunemaker
PRO
4
510
So, you think you're a good person
axbom
PRO
2
2k
RailsConf 2023
tenderlove
30
1.4k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
84
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
170
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.3k
We Have a Design System, Now What?
morganepeng
55
8.1k
For a Future-Friendly Web
brad_frost
183
10k
[SF Ruby Conf 2025] Rails X
palkan
2
880
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
The Invisible Side of Design
smashingmag
302
51k
Transcript
EC2とCloudWatchで始める SSHハニーポット運⽤ 笹川 尋翔
Amazon EC2(Elastic Compute Cloud) • インターネット経由でコンピューティングリソースを 利⽤できるサービス • 性能要件や利⽤⽤途ごとに様々なインスタンスを選択 •
EBS(Elastic Block Store)と呼ばれるブロックストレージを組み 合わせて利⽤
Amazon CloudWatch • AWSのサービスなどのアプリケーションを モニタリングできるサービス • ログやメトリクスをCloudWatchのエンドポイントへ送信する ことでマネジメントコンソール上でデータを可視化
ハニーポット(honeypot) • 悪意のある攻撃を受けやすいようにハードウェアや ソフトウェアを設定 • 攻撃者を特定、あるいは攻撃⼿法を分析するシステム • 低対話型: OSやコマンドなどをエミュレート •
⾼対話型: 実際のOSやインスタンスを使⽤
アーキテクチャ • VPC(Virtual Private Cloud) • プライベートサブネット • インターネットGW •
ルートテーブル • t3a.microインスタンス • Elastic IPアドレス
アーキテクチャ 1. VPCにインターネットGWをアタッチ 2. ルートテーブルにインターネットGWを登録 3. EC2インスタンスをプライベートサブネットに配置 4. EC2インスタンスにElastic IPをアタッチ
EC2インスタンスの設定 • 実⾏されたコマンドをrsyslogでログに記録するように設定 • /etc/ssh/sshd_config • PermitRootLoginをyesに変更 • PasswordAuthenticationをyesに変更 •
sudo systemctl reload sshでssh.serviceをリロード
EC2インスタンスの設定 • CloudWatch Agentをインストール • EC2のログやメトリクスを取得するためのソフトウェア • CloudWatch Agentのjson形式の設定ファイルを対話的に⽣成
/opt/aws/amazon-cloudwatch-agent/bin/config.json
CloudWatchでログを表⽰ • auth.log • ログイン認証を試⾏した際の • タイムスタンプ • 送信元グローバルIPアドレス •
⼊⼒されたユーザ名 • ⼊⼒されたパスワード • 認証の可否(success, fail) • commands.log • コマンドが実⾏された際の • タイムスタンプ • コマンドを実⾏したユーザ名 • 実⾏されたコマンド
auth.log
commands.log
今後の課題 • ハニーポットを植えたのに攻撃が来る頻度が極端に少ない • nmapコマンドでpingを使ったポートスキャンができないから? • pingはICMPを使う • ICMPのインバウンド通信を許可していなかった •
CloudWatchのグラフによるデータの可視化
nagutabby
iotengineer22
daiki_akimoto_nttd
hr01
cybozuinsideout
nttcom
satoshin
vrshinobi1
sanogemaru
knishioka
harukasakihara
tanakaseiya
flatt_security
jnunemaker
axbom
tenderlove
akademiya2063
ryanjones
kevinliebholz
morganepeng
brad_frost
palkan
chriscoyier
denniskardys
smashingmag
