Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
EC2とCloudWatchで始める高対話型ハニーポット運用
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
Hiroto Sasagawa
July 09, 2023
Technology
0
590
EC2とCloudWatchで始める高対話型ハニーポット運用
Hiroto Sasagawa
July 09, 2023
Tweet
Share
More Decks by Hiroto Sasagawa
See All by Hiroto Sasagawa
IP Anycastとリバースプロキシ
nagutabby
0
450
HSTSについて調べた
nagutabby
0
410
第1回 AWS勉強会
nagutabby
0
580
第1回 GNU/Linux勉強会
nagutabby
0
540
第2回 GNU/Linux勉強会
nagutabby
0
460
第3回 GNU/Linux勉強会
nagutabby
0
520
DNSを標的とする攻撃
nagutabby
0
470
Other Decks in Technology
See All in Technology
AzureでのIaC - Bicep? Terraform? それ早く言ってよ会議
torumakabe
1
620
AIが実装する時代、人間は仕様と検証を設計する
gotalab555
1
640
Cosmos World Foundation Model Platform for Physical AI
takmin
0
980
20260204_Midosuji_Tech
takuyay0ne
1
160
外部キー制約の知っておいて欲しいこと - RDBMSを正しく使うために必要なこと / FOREIGN KEY Night
soudai
PRO
12
5.6k
10Xにおける品質保証活動の全体像と改善 #no_more_wait_for_test
nihonbuson
PRO
2
340
今こそ学びたいKubernetesネットワーク ~CNIが繋ぐNWとプラットフォームの「フラッと」な対話
logica0419
5
540
コミュニティが変えるキャリアの地平線:コロナ禍新卒入社のエンジニアがAWSコミュニティで見つけた成長の羅針盤
kentosuzuki
0
130
ECS障害を例に学ぶ、インシデント対応に備えた AIエージェントの育て方 / How to develop AI agents for incident response with ECS outage
iselegant
4
460
Embedded SREの終わりを設計する 「なんとなく」から計画的な自立支援へ
sansantech
PRO
3
2.6k
コンテナセキュリティの最新事情 ~ 2026年版 ~
kyohmizu
7
2.4k
顧客の言葉を、そのまま信じない勇気
yamatai1212
1
370
Featured
See All Featured
Raft: Consensus for Rubyists
vanstee
141
7.3k
Building AI with AI
inesmontani
PRO
1
710
Navigating Team Friction
lara
192
16k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
61k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.4k
GraphQLの誤解/rethinking-graphql
sonatard
74
11k
Prompt Engineering for Job Search
mfonobong
0
160
Rebuilding a faster, lazier Slack
samanthasiow
85
9.4k
Fireside Chat
paigeccino
41
3.8k
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
1
1.3k
Speed Design
sergeychernyshev
33
1.5k
Optimising Largest Contentful Paint
csswizardry
37
3.6k
Transcript
EC2とCloudWatchで始める SSHハニーポット運⽤ 笹川 尋翔
Amazon EC2(Elastic Compute Cloud) • インターネット経由でコンピューティングリソースを 利⽤できるサービス • 性能要件や利⽤⽤途ごとに様々なインスタンスを選択 •
EBS(Elastic Block Store)と呼ばれるブロックストレージを組み 合わせて利⽤
Amazon CloudWatch • AWSのサービスなどのアプリケーションを モニタリングできるサービス • ログやメトリクスをCloudWatchのエンドポイントへ送信する ことでマネジメントコンソール上でデータを可視化
ハニーポット(honeypot) • 悪意のある攻撃を受けやすいようにハードウェアや ソフトウェアを設定 • 攻撃者を特定、あるいは攻撃⼿法を分析するシステム • 低対話型: OSやコマンドなどをエミュレート •
⾼対話型: 実際のOSやインスタンスを使⽤
アーキテクチャ • VPC(Virtual Private Cloud) • プライベートサブネット • インターネットGW •
ルートテーブル • t3a.microインスタンス • Elastic IPアドレス
アーキテクチャ 1. VPCにインターネットGWをアタッチ 2. ルートテーブルにインターネットGWを登録 3. EC2インスタンスをプライベートサブネットに配置 4. EC2インスタンスにElastic IPをアタッチ
EC2インスタンスの設定 • 実⾏されたコマンドをrsyslogでログに記録するように設定 • /etc/ssh/sshd_config • PermitRootLoginをyesに変更 • PasswordAuthenticationをyesに変更 •
sudo systemctl reload sshでssh.serviceをリロード
EC2インスタンスの設定 • CloudWatch Agentをインストール • EC2のログやメトリクスを取得するためのソフトウェア • CloudWatch Agentのjson形式の設定ファイルを対話的に⽣成
/opt/aws/amazon-cloudwatch-agent/bin/config.json
CloudWatchでログを表⽰ • auth.log • ログイン認証を試⾏した際の • タイムスタンプ • 送信元グローバルIPアドレス •
⼊⼒されたユーザ名 • ⼊⼒されたパスワード • 認証の可否(success, fail) • commands.log • コマンドが実⾏された際の • タイムスタンプ • コマンドを実⾏したユーザ名 • 実⾏されたコマンド
auth.log
commands.log
今後の課題 • ハニーポットを植えたのに攻撃が来る頻度が極端に少ない • nmapコマンドでpingを使ったポートスキャンができないから? • pingはICMPを使う • ICMPのインバウンド通信を許可していなかった •
CloudWatchのグラフによるデータの可視化
nagutabby
torumakabe
gotalab555
takmin
takuyay0ne
soudai
nihonbuson
logica0419
kentosuzuki
iselegant
sansantech
kyohmizu
yamatai1212
vanstee
inesmontani
lara
lemiorhan
rmw
sonatard
mfonobong
samanthasiow
paigeccino
sarafernandez
sergeychernyshev
csswizardry
