Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
EC2とCloudWatchで始める高対話型ハニーポット運用
Search
Hiroto Sasagawa
July 09, 2023
Technology
0
590
EC2とCloudWatchで始める高対話型ハニーポット運用
Hiroto Sasagawa
July 09, 2023
Tweet
Share
More Decks by Hiroto Sasagawa
See All by Hiroto Sasagawa
IP Anycastとリバースプロキシ
nagutabby
0
440
HSTSについて調べた
nagutabby
0
410
第1回 AWS勉強会
nagutabby
0
580
第1回 GNU/Linux勉強会
nagutabby
0
530
第2回 GNU/Linux勉強会
nagutabby
0
450
第3回 GNU/Linux勉強会
nagutabby
0
520
DNSを標的とする攻撃
nagutabby
0
470
Other Decks in Technology
See All in Technology
Bill One 開発エンジニア 紹介資料
sansan33
PRO
4
17k
研究開発部メンバーの働き⽅ / Sansan R&D Profile
sansan33
PRO
4
21k
Introduction to Sansan Meishi Maker Development Engineer
sansan33
PRO
0
330
Oracle Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
1
900
ハッカソンから社内プロダクトへ AIエージェント ko☆shi 開発で学んだ4つの重要要素
leveragestech
0
640
国井さんにPurview の話を聞く会
sophiakunii
1
360
ECS_EKS以外の選択肢_ROSA入門_.pdf
masakiokuda
1
130
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
5
61k
#22 CA × atmaCup 3rd 1st Place Solution
yumizu
1
140
Introduction to Sansan, inc / Sansan Global Development Center, Inc.
sansan33
PRO
0
2.9k
BidiAgent と Nova 2 Sonic から考える音声 AI について
yama3133
2
150
Scrum Guide Expansion Pack が示す現代プロダクト開発への補完的視点
sonjin
0
570
Featured
See All Featured
Rails Girls Zürich Keynote
gr2m
95
14k
The Cult of Friendly URLs
andyhume
79
6.8k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
9.8k
Done Done
chrislema
186
16k
Chasing Engaging Ingredients in Design
codingconduct
0
95
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
1
270
How to Align SEO within the Product Triangle To Get Buy-In & Support - #RIMC
aleyda
1
1.4k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
54
49k
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
67
The Mindset for Success: Future Career Progression
greggifford
PRO
0
210
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
1.8k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.3k
Transcript
EC2とCloudWatchで始める SSHハニーポット運⽤ 笹川 尋翔
Amazon EC2(Elastic Compute Cloud) • インターネット経由でコンピューティングリソースを 利⽤できるサービス • 性能要件や利⽤⽤途ごとに様々なインスタンスを選択 •
EBS(Elastic Block Store)と呼ばれるブロックストレージを組み 合わせて利⽤
Amazon CloudWatch • AWSのサービスなどのアプリケーションを モニタリングできるサービス • ログやメトリクスをCloudWatchのエンドポイントへ送信する ことでマネジメントコンソール上でデータを可視化
ハニーポット(honeypot) • 悪意のある攻撃を受けやすいようにハードウェアや ソフトウェアを設定 • 攻撃者を特定、あるいは攻撃⼿法を分析するシステム • 低対話型: OSやコマンドなどをエミュレート •
⾼対話型: 実際のOSやインスタンスを使⽤
アーキテクチャ • VPC(Virtual Private Cloud) • プライベートサブネット • インターネットGW •
ルートテーブル • t3a.microインスタンス • Elastic IPアドレス
アーキテクチャ 1. VPCにインターネットGWをアタッチ 2. ルートテーブルにインターネットGWを登録 3. EC2インスタンスをプライベートサブネットに配置 4. EC2インスタンスにElastic IPをアタッチ
EC2インスタンスの設定 • 実⾏されたコマンドをrsyslogでログに記録するように設定 • /etc/ssh/sshd_config • PermitRootLoginをyesに変更 • PasswordAuthenticationをyesに変更 •
sudo systemctl reload sshでssh.serviceをリロード
EC2インスタンスの設定 • CloudWatch Agentをインストール • EC2のログやメトリクスを取得するためのソフトウェア • CloudWatch Agentのjson形式の設定ファイルを対話的に⽣成
/opt/aws/amazon-cloudwatch-agent/bin/config.json
CloudWatchでログを表⽰ • auth.log • ログイン認証を試⾏した際の • タイムスタンプ • 送信元グローバルIPアドレス •
⼊⼒されたユーザ名 • ⼊⼒されたパスワード • 認証の可否(success, fail) • commands.log • コマンドが実⾏された際の • タイムスタンプ • コマンドを実⾏したユーザ名 • 実⾏されたコマンド
auth.log
commands.log
今後の課題 • ハニーポットを植えたのに攻撃が来る頻度が極端に少ない • nmapコマンドでpingを使ったポートスキャンができないから? • pingはICMPを使う • ICMPのインバウンド通信を許可していなかった •
CloudWatchのグラフによるデータの可視化
nagutabby
sansan33
oracle4engineer
leveragestech
sophiakunii
masakiokuda
yumizu
yama3133
sonjin
gr2m
andyhume
eileencodes
chrislema
codingconduct
jct
aleyda
madoxten
kimpetersen
greggifford
reverentgeek
tammyeverts
