Upgrade to Pro — share decks privately, control downloads, hide ads and more …

その T-Pot 本当に必要ですか?

Nao
June 30, 2018
Technology
0
1.7k

その T-Pot 本当に必要ですか?

2018年6月30日に行われた「第4回 ハニーポッター技術交流会」の発表資料です.
@nsec_life
#hanipo_tech
https://hanipo-tech.connpass.com/event/90337/

Nao

June 30, 2018
Tweet

More Decks by Nao

See All by Nao
AutomatedLabを使って内部ペンテストを勉強しよう! -やられ社内ネットワークの自動構築-
n_etupirka
1
1k
Pass-the-Challenge - Credential Guardの新たなバイパス手法
n_etupirka
0
1.6k
LTE 通信のパケットキャプチャ環境構築 / LTE Simulation
n_etupirka
0
2.5k
Channel-based MitM Attacks using CSAs
n_etupirka
3
2.3k

Other Decks in Technology

See All in Technology
DynamoDB でスロットリングが発生したとき/when_throttling_occurs_in_dynamodb_short
emiki
0
260
飲食店データの分析事例とそれを支えるデータ基盤
kimujun
0
190
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
490
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
7
680
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
260
Lexical Analysis
shigashiyama
1
150
DynamoDB でスロットリングが発生したとき_大盛りver/when_throttling_occurs_in_dynamodb_long
emiki
1
440
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
TypeScriptの次なる大進化なるか!? 条件型を返り値とする関数の型推論
uhyo
2
1.7k
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
210
Storybook との上手な向き合い方を考える
re_taro
4
370
Platform Engineering for Software Developers and Architects
syntasso
1
520

Featured

See All Featured
The Language of Interfaces
destraynor
154
24k
Docker and Python
trallard
40
3.1k
YesSQL, Process and Tooling at Scale
rocio
169
14k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
The Cult of Friendly URLs
andyhume
78
6k
Facilitating Awesome Meetings
lara
50
6.1k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
Documentation Writing (for coders)
carmenintech
65
4.4k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Side Projects
sachag
452
42k
4 Signs Your Business is Dying
shpigford
180
21k
Into the Great Unknown - MozCon
thekraken
32
1.5k

Transcript

  1. 2018.06.30 第4回 ハニーポッター技術交流会 @nsec_life その T-Pot 本当に必要ですか?

  2. 自己紹介 第4回 ハニーポッター技術交流会 2 •小松 奈央 (@nsec_life) •セキュリティエンジニア (2018.04〜) •趣味

    : Honeypot / Linux etc... •ハニーポッター歴 : 9ヶ月 •ブログ •https://nsec.hatenablog.com

  3. LT について 第4回 ハニーポッター技術交流会 3 •対象者 •これからハニーポット運用を検討している人 •運用するハニーポットに T-Pot を考えている人

    •T-Pot の扱いに困っている人 •注意事項 •発表内容は業務とは一切関係ありません •特定のサービスを批判するものではありません •あくまで一個人としての意見ということを念頭に置 いてお聞きください

  4. T-Pot とは 第4回 ハニーポッター技術交流会 4 •ドイツテレコム社が開発する Multi-Honeypot Platform •Docker Container

    で構築されている 画像引用元 : http://dtag-dev-sec.github.io/mediator/feature/2017/11/07/t-pot-17.10.html

  5. T-Pot を使うメリット 第4回 ハニーポッター技術交流会 5 •導入・保守が容易 •数種類のハニーポットが導入済み •ELK によるログ可視化環境が導入済み •セキュリティレベルが高い

    •コンテナによるハニーポットのカプセル化 •各コンテナは揮発性で,毎日初期化される 初心者でも始めやすい! ←(これ本当?)

  6. T-Pot のシステム要件 第4回 ハニーポッター技術交流会 6 •T-Pot の機能 •Dionaea / Cowrie

    / Glastopf / honeytrap / Conpot / mailoney etc... •ELK による可視化 / IPS による監視 •その他様々な機能をサポート •システム要件 •4 GB RAM (6-8 GB recommended) •64 GB SSD (128 GB SSD recommended)

  7. どこに設置しよう...? 第4回 ハニーポッター技術交流会 7 •パッと思いつくハニポの設置場所といえば, 1.VPS (Virtual Private Server) 2.Cloud

    Computing Service 3.自宅ネットワーク

  8. さくら VPS を利用した場合 第4回 ハニーポッター技術交流会 8 これでも足りないらしい... (グラフの表示に時間がかかる・ タイムアウトしてしまう等) これくらい必要...?

    画像引用元 : https://vps.sakura.ad.jp/specification/

  9. AWS を利用した場合 第4回 ハニーポッター技術交流会 9 •AWS で T-Pot を運用しており,金額を詳細に 見積もっている方がいました

    •初年度 : 39,917円 (月額平均 3,326円) •2年目以降 : 45,462円 (月額平均 3,788円) •詳しくはこちら↓ • https://graneed.hatenablog.com/entry/2018/06/10/030525

  10. 自宅ネットワークに設置...? 第4回 ハニーポッター技術交流会 10 •VPS もクラウドも月 4,000円程度はかかりそう 初めてのハニポにこんなに払えない! •じゃあ自宅ネットワークに設置? •自宅ネットワークを外部に公開する必要あり

    •公開用回線を契約?複数ルータでセグメント分割? •新たなセキュリティホールを生む可能性 あれ?セキュリティレベルの高さは?

  11. ハニポ初心者の悩み 第4回 ハニーポッター技術交流会 11 •4ヶ月前の自分 •ハニポのログは分析しなきゃ意味がない! •でもどのログを分析したらいいのか分からない;; •T-Pot の場合 •ハニポの種類が多い

    → すべてのログを分析するのは難しい → ログの取捨選択も難しい •可視化環境がある → ログを見なくても分析したつもりになる 初心者の手に余る機能が多い

  12. WOWHoneypot T-Pot の拡張性について 第4回 ハニーポッター技術交流会 12 •T-Pot でハニポ運用を開始! •順調にログの収集 &

    分析ができた^^ •そろそろハニポを追加してみたい... •Glastopf を WOWHoneypot に変更 Glastopf Ubuntu 16.04 LTS Docker Engine mailoney Dionaea Conpot Cowrie honeytrap ELK

  13. T-Pot の拡張性について 第4回 ハニーポッター技術交流会 13 •Q. こんなときはどうする...? •Glastopf と WOWHoneypot

    をどっちも動かしたい •Web 特化型ハニーポットを2つ以上動かしたい •A. T-Pot を増やす •もちろん現実的ではない •A. 追加ハニポ用の VPS を借りる •追加したハニポには可視化環境ないけど大丈夫? •追加したハニポのログを既存 T-Pot の ELK に流す ことはできそう(多分)

  14. 言いたいこと 第4回 ハニーポッター技術交流会 14 •ハニーポットは目的ではなく手段 •ハニーポット目的は? •ログ分析力の向上? •脆弱性と攻撃手法の理解? •これらの目的に T-Pot

    が最適とは限らない •T-Pot は素晴らしいシステム •様々なサービスに対する攻撃の統計データを観測し たいといった目的には最適

  15. Mailoney Glastopf よくある構成例 第4回 ハニーポッター技術交流会 15 ログ管理 & 可視化サーバ ハニポサーバ1

    WOWHoneypot Cowrie Dionaea ハニポサーバ2 WOWHoneypot Cowrie Dionaea ハニポサーバ3 Dionaea

  16. よくある構成例 第4回 ハニーポッター技術交流会 16 ログ管理 & 可視化サーバ ハニポサーバ1 WOWHoneypot Cowrie

    Dionaea Docker Engine ハニポサーバ2 Glastopf mailoney Dionaea Docker Engine

  17. まとめ 第4回 ハニーポッター技術交流会 17 •T-Pot は素晴らしいシステム •どちらかというと上級者向け (個人的な意見) •ローコストでもハニポ運用はできる •もちろん可視化環境も

    •無理なく楽しいハニポライフを!

  18. Thank you. Any Questions ?