2018.06.30 第4回 ハニーポッター技術交流会 @nsec_life その T-Pot 本当に必要ですか？

自己紹介 第4回 ハニーポッター技術交流会 2 •小松 奈央 (@nsec_life) •セキュリティエンジニア (2018.04〜) •趣味 : Honeypot / Linux etc... •ハニーポッター歴 : 9ヶ月 •ブログ •https://nsec.hatenablog.com

LT について 第4回 ハニーポッター技術交流会 3 •対象者 •これからハニーポット運用を検討している人 •運用するハニーポットに T-Pot を考えている人 •T-Pot の扱いに困っている人 •注意事項 •発表内容は業務とは一切関係ありません •特定のサービスを批判するものではありません •あくまで一個人としての意見ということを念頭に置 いてお聞きください

T-Pot とは 第4回 ハニーポッター技術交流会 4 •ドイツテレコム社が開発する Multi-Honeypot Platform •Docker Container で構築されている 画像引用元 : http://dtag-dev-sec.github.io/mediator/feature/2017/11/07/t-pot-17.10.html

T-Pot を使うメリット 第4回 ハニーポッター技術交流会 5 •導入・保守が容易 •数種類のハニーポットが導入済み •ELK によるログ可視化環境が導入済み •セキュリティレベルが高い •コンテナによるハニーポットのカプセル化 •各コンテナは揮発性で，毎日初期化される 初心者でも始めやすい! ←(これ本当?)

T-Pot のシステム要件 第4回 ハニーポッター技術交流会 6 •T-Pot の機能 •Dionaea / Cowrie / Glastopf / honeytrap / Conpot / mailoney etc... •ELK による可視化 / IPS による監視 •その他様々な機能をサポート •システム要件 •4 GB RAM (6-8 GB recommended) •64 GB SSD (128 GB SSD recommended)

どこに設置しよう...? 第4回 ハニーポッター技術交流会 7 •パッと思いつくハニポの設置場所といえば， 1.VPS (Virtual Private Server) 2.Cloud Computing Service 3.自宅ネットワーク

さくら VPS を利用した場合 第4回 ハニーポッター技術交流会 8 これでも足りないらしい... (グラフの表示に時間がかかる・ タイムアウトしてしまう等) これくらい必要...? 画像引用元 : https://vps.sakura.ad.jp/specification/

AWS を利用した場合 第4回 ハニーポッター技術交流会 9 •AWS で T-Pot を運用しており，金額を詳細に 見積もっている方がいました •初年度 : 39,917円 (月額平均 3,326円) •2年目以降 : 45,462円 (月額平均 3,788円) •詳しくはこちら↓ • https://graneed.hatenablog.com/entry/2018/06/10/030525

自宅ネットワークに設置...? 第4回 ハニーポッター技術交流会 10 •VPS もクラウドも月 4,000円程度はかかりそう 初めてのハニポにこんなに払えない！ •じゃあ自宅ネットワークに設置？ •自宅ネットワークを外部に公開する必要あり •公開用回線を契約？複数ルータでセグメント分割？ •新たなセキュリティホールを生む可能性 あれ？セキュリティレベルの高さは？

ハニポ初心者の悩み 第4回 ハニーポッター技術交流会 11 •4ヶ月前の自分 •ハニポのログは分析しなきゃ意味がない！ •でもどのログを分析したらいいのか分からない;; •T-Pot の場合 •ハニポの種類が多い → すべてのログを分析するのは難しい → ログの取捨選択も難しい •可視化環境がある → ログを見なくても分析したつもりになる 初心者の手に余る機能が多い

WOWHoneypot T-Pot の拡張性について 第4回 ハニーポッター技術交流会 12 •T-Pot でハニポ運用を開始！ •順調にログの収集 & 分析ができた^^ •そろそろハニポを追加してみたい... •Glastopf を WOWHoneypot に変更 Glastopf Ubuntu 16.04 LTS Docker Engine mailoney Dionaea Conpot Cowrie honeytrap ELK

T-Pot の拡張性について 第4回 ハニーポッター技術交流会 13 •Q. こんなときはどうする...? •Glastopf と WOWHoneypot をどっちも動かしたい •Web 特化型ハニーポットを2つ以上動かしたい •A. T-Pot を増やす •もちろん現実的ではない •A. 追加ハニポ用の VPS を借りる •追加したハニポには可視化環境ないけど大丈夫? •追加したハニポのログを既存 T-Pot の ELK に流す ことはできそう(多分)

言いたいこと 第4回 ハニーポッター技術交流会 14 •ハニーポットは目的ではなく手段 •ハニーポット目的は？ •ログ分析力の向上？ •脆弱性と攻撃手法の理解？ •これらの目的に T-Pot が最適とは限らない •T-Pot は素晴らしいシステム •様々なサービスに対する攻撃の統計データを観測し たいといった目的には最適

Mailoney Glastopf よくある構成例 第4回 ハニーポッター技術交流会 15 ログ管理 & 可視化サーバ ハニポサーバ1 WOWHoneypot Cowrie Dionaea ハニポサーバ2 WOWHoneypot Cowrie Dionaea ハニポサーバ3 Dionaea

よくある構成例 第4回 ハニーポッター技術交流会 16 ログ管理 & 可視化サーバ ハニポサーバ1 WOWHoneypot Cowrie Dionaea Docker Engine ハニポサーバ2 Glastopf mailoney Dionaea Docker Engine

まとめ 第4回 ハニーポッター技術交流会 17 •T-Pot は素晴らしいシステム •どちらかというと上級者向け (個人的な意見) •ローコストでもハニポ運用はできる •もちろん可視化環境も •無理なく楽しいハニポライフを！

Thank you. Any Questions ?