その T-Pot 本当に必要ですか?

38bf0b66e1af7063a6f12c55cea7539b?s=47 Nao
June 30, 2018

その T-Pot 本当に必要ですか?

2018年6月30日に行われた「第4回 ハニーポッター技術交流会」の発表資料です.
@nsec_life
#hanipo_tech
https://hanipo-tech.connpass.com/event/90337/

38bf0b66e1af7063a6f12c55cea7539b?s=128

Nao

June 30, 2018
Tweet

Transcript

  1. 2018.06.30 第4回 ハニーポッター技術交流会 @nsec_life その T-Pot 本当に必要ですか?

  2. 自己紹介 第4回 ハニーポッター技術交流会 2 •小松 奈央 (@nsec_life) •セキュリティエンジニア (2018.04〜) •趣味

    : Honeypot / Linux etc... •ハニーポッター歴 : 9ヶ月 •ブログ •https://nsec.hatenablog.com
  3. LT について 第4回 ハニーポッター技術交流会 3 •対象者 •これからハニーポット運用を検討している人 •運用するハニーポットに T-Pot を考えている人

    •T-Pot の扱いに困っている人 •注意事項 •発表内容は業務とは一切関係ありません •特定のサービスを批判するものではありません •あくまで一個人としての意見ということを念頭に置 いてお聞きください
  4. T-Pot とは 第4回 ハニーポッター技術交流会 4 •ドイツテレコム社が開発する Multi-Honeypot Platform •Docker Container

    で構築されている 画像引用元 : http://dtag-dev-sec.github.io/mediator/feature/2017/11/07/t-pot-17.10.html
  5. T-Pot を使うメリット 第4回 ハニーポッター技術交流会 5 •導入・保守が容易 •数種類のハニーポットが導入済み •ELK によるログ可視化環境が導入済み •セキュリティレベルが高い

    •コンテナによるハニーポットのカプセル化 •各コンテナは揮発性で,毎日初期化される 初心者でも始めやすい! ←(これ本当?)
  6. T-Pot のシステム要件 第4回 ハニーポッター技術交流会 6 •T-Pot の機能 •Dionaea / Cowrie

    / Glastopf / honeytrap / Conpot / mailoney etc... •ELK による可視化 / IPS による監視 •その他様々な機能をサポート •システム要件 •4 GB RAM (6-8 GB recommended) •64 GB SSD (128 GB SSD recommended)
  7. どこに設置しよう...? 第4回 ハニーポッター技術交流会 7 •パッと思いつくハニポの設置場所といえば, 1.VPS (Virtual Private Server) 2.Cloud

    Computing Service 3.自宅ネットワーク
  8. さくら VPS を利用した場合 第4回 ハニーポッター技術交流会 8 これでも足りないらしい... (グラフの表示に時間がかかる・ タイムアウトしてしまう等) これくらい必要...?

    画像引用元 : https://vps.sakura.ad.jp/specification/
  9. AWS を利用した場合 第4回 ハニーポッター技術交流会 9 •AWS で T-Pot を運用しており,金額を詳細に 見積もっている方がいました

    •初年度 : 39,917円 (月額平均 3,326円) •2年目以降 : 45,462円 (月額平均 3,788円) •詳しくはこちら↓ • https://graneed.hatenablog.com/entry/2018/06/10/030525
  10. 自宅ネットワークに設置...? 第4回 ハニーポッター技術交流会 10 •VPS もクラウドも月 4,000円程度はかかりそう 初めてのハニポにこんなに払えない! •じゃあ自宅ネットワークに設置? •自宅ネットワークを外部に公開する必要あり

    •公開用回線を契約?複数ルータでセグメント分割? •新たなセキュリティホールを生む可能性 あれ?セキュリティレベルの高さは?
  11. ハニポ初心者の悩み 第4回 ハニーポッター技術交流会 11 •4ヶ月前の自分 •ハニポのログは分析しなきゃ意味がない! •でもどのログを分析したらいいのか分からない;; •T-Pot の場合 •ハニポの種類が多い

    → すべてのログを分析するのは難しい → ログの取捨選択も難しい •可視化環境がある → ログを見なくても分析したつもりになる 初心者の手に余る機能が多い
  12. WOWHoneypot T-Pot の拡張性について 第4回 ハニーポッター技術交流会 12 •T-Pot でハニポ運用を開始! •順調にログの収集 &

    分析ができた^^ •そろそろハニポを追加してみたい... •Glastopf を WOWHoneypot に変更 Glastopf Ubuntu 16.04 LTS Docker Engine mailoney Dionaea Conpot Cowrie honeytrap ELK
  13. T-Pot の拡張性について 第4回 ハニーポッター技術交流会 13 •Q. こんなときはどうする...? •Glastopf と WOWHoneypot

    をどっちも動かしたい •Web 特化型ハニーポットを2つ以上動かしたい •A. T-Pot を増やす •もちろん現実的ではない •A. 追加ハニポ用の VPS を借りる •追加したハニポには可視化環境ないけど大丈夫? •追加したハニポのログを既存 T-Pot の ELK に流す ことはできそう(多分)
  14. 言いたいこと 第4回 ハニーポッター技術交流会 14 •ハニーポットは目的ではなく手段 •ハニーポット目的は? •ログ分析力の向上? •脆弱性と攻撃手法の理解? •これらの目的に T-Pot

    が最適とは限らない •T-Pot は素晴らしいシステム •様々なサービスに対する攻撃の統計データを観測し たいといった目的には最適
  15. Mailoney Glastopf よくある構成例 第4回 ハニーポッター技術交流会 15 ログ管理 & 可視化サーバ ハニポサーバ1

    WOWHoneypot Cowrie Dionaea ハニポサーバ2 WOWHoneypot Cowrie Dionaea ハニポサーバ3 Dionaea
  16. よくある構成例 第4回 ハニーポッター技術交流会 16 ログ管理 & 可視化サーバ ハニポサーバ1 WOWHoneypot Cowrie

    Dionaea Docker Engine ハニポサーバ2 Glastopf mailoney Dionaea Docker Engine
  17. まとめ 第4回 ハニーポッター技術交流会 17 •T-Pot は素晴らしいシステム •どちらかというと上級者向け (個人的な意見) •ローコストでもハニポ運用はできる •もちろん可視化環境も

    •無理なく楽しいハニポライフを!
  18. Thank you. Any Questions ?