開(kāi)源蜜罐Hfish介紹

開(kāi)源蜜罐Hfish是一款社區(qū)型免費(fèi)蜜罐，側(cè)重企業(yè)安全場(chǎng)景，從內(nèi)網(wǎng)失陷檢測(cè)、外網(wǎng)威脅感知、威脅情報(bào)生產(chǎn)三個(gè)場(chǎng)景出發(fā)，為用戶提供可獨(dú)立操作且實(shí)用的功能，通過(guò)安全、敏捷、可靠的中低交互蜜罐增加用戶在失陷感知和威脅情報(bào)領(lǐng)域的能力。

HFish具有超過(guò)40種蜜罐環(huán)境、提供免費(fèi)的云蜜網(wǎng)、可高度自定義的蜜餌能力、一鍵部署、跨平臺(tái)多架構(gòu)、國(guó)產(chǎn)操作系統(tǒng)和CPU支持、極低的性能要求、郵件/syslog/webhook/企業(yè)微信/釘釘/飛書(shū)告警等多項(xiàng)特性，幫助用戶降低運(yùn)維成本，提升運(yùn)營(yíng)效率。

(圖片可點(diǎn)擊放大查看)

為什么選擇HFish

1、免費(fèi)、實(shí)用的社區(qū)產(chǎn)品

蜜罐通常被定義為具有輕量級(jí)檢測(cè)能力、低誤報(bào)率的檢測(cè)產(chǎn)品，同時(shí)它也是企業(yè)生產(chǎn)本地威脅情報(bào)的優(yōu)質(zhì)來(lái)源之一。HFish可以幫助中小型企業(yè)用戶在日常安全運(yùn)營(yíng)中進(jìn)行避免告警洪水、低成本的增加威脅感知和情報(bào)生產(chǎn)能力。目前，社區(qū)的力量正在不斷幫助HFish完善自身，共同探索欺騙防御的最佳實(shí)踐。

2、安全、敏捷的威脅感知節(jié)點(diǎn)

HFish被廣泛應(yīng)用于感知辦公內(nèi)網(wǎng)、生產(chǎn)環(huán)境、云內(nèi)網(wǎng)及其他環(huán)境失陷主機(jī)橫向移動(dòng)、員工賬號(hào)外泄、掃描和探測(cè)行為、私有情報(bào)生產(chǎn)甚至內(nèi)部演練和安全意識(shí)培訓(xùn)，HFish的多種告警輸出形式與態(tài)感、NDR、XDR或日志平臺(tái)結(jié)合，極大拓展檢測(cè)視野。

下面介紹開(kāi)源蜜罐Hfish的簡(jiǎn)單部署并接入到GrayLog

一、安裝Hfish

mkdir/opt/hfish
tar-zxvfhfish-3.1.0-linux-amd64.tgz-C/opt/hfish/
cd/opt/hfish/
ll
./install.sh

firewall-cmd--add-rich-rule='rulefamily="ipv4"sourceaddress="192.168.31.100/32"portport="4433"protocol="tcp"accept'--permanent
firewall-cmd--add-port=4434/tcp--permanent
firewall-cmd--reload

(圖片可點(diǎn)擊放大查看)

修改自身的sshd端口，并只允許管理機(jī)訪問(wèn)

sed-i"s/#Port22/Port60122/g"/etc/ssh/sshd_config
cat/etc/ssh/sshd_config|grepPort
echo"sshd:192.168.31.100">>/etc/hosts.allow
cat>>/etc/hosts.deny<echo`date`loginattemptfrom%cto%s,thehostis%h.PIDis%p>>/var/log/tcpwrapper.log
EOF
firewall-cmd--permanent--zone=public--add-port=60122/tcp
firewall-cmd--reload

(圖片可點(diǎn)擊放大查看)

二、蜜罐服務(wù)配置

登錄Web

(圖片可點(diǎn)擊放大查看)

內(nèi)置了非常多的蜜罐類(lèi)型自行定義

(圖片可點(diǎn)擊放大查看)

并在防火墻上放通相應(yīng)端口

firewall-cmd--add-port=21/tcp--permanent
firewall-cmd--add-port=22/tcp--permanent
firewall-cmd--add-port=23/tcp--permanent
firewall-cmd--add-port=1433/tcp--permanent
firewall-cmd--add-port=3389/tcp--permanent
firewall-cmd--add-port=445/tcp--permanent
firewall-cmd--add-port=9092/tcp--permanent
firewall-cmd--add-port=9093/tcp--permanent
firewall-cmd--add-port=7879/tcp--permanent
firewall-cmd--add-port=6379/tcp--permanent
firewall-cmd--add-port=135/tcp--permanent
firewall-cmd--add-port=7/tcp--permanent
firewall-cmd--add-port=9293/tcp--permanent
firewall-cmd--add-port=9295/tcp--permanent
firewall-cmd--add-port=80/tcp--permanent
firewall-cmd--add-port=9200/tcp--permanent
firewall-cmd--add-port=3306/tcp--permanent
firewall-cmd--reload

(圖片可點(diǎn)擊放大查看)

三、告警及syslog配置

釘釘告警機(jī)器人對(duì)接和syslog通知配置

添加釘釘機(jī)器人的token

syslog則配置Graylog的syslog接收端口

例如192.168.31.230 1514 udp端口

(圖片可點(diǎn)擊放大查看)

并添加告警策略

(圖片可點(diǎn)擊放大查看)

四、攻擊測(cè)試及效果展示

例如hydra暴力破解mysql

(圖片可點(diǎn)擊放大查看)

大屏效果

釘釘告警效果

(圖片可點(diǎn)擊放大查看)

五、GrayLog字段提取器配置

配置步驟過(guò)程簡(jiǎn)單截圖

(圖片可點(diǎn)擊放大查看)

配置提取器

(圖片可點(diǎn)擊放大查看)

json格式日志添加提取器

(圖片可點(diǎn)擊放大查看)

訪問(wèn)火絨蜜罐

(圖片可點(diǎn)擊放大查看)

日志字段效果展示

(圖片可點(diǎn)擊放大查看)

審核編輯：李倩

聲明：本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題，請(qǐng)聯(lián)系本站處理。舉報(bào)投訴