配置云蜜罐
您可以使用云蜜罐功能,通過(guò)在您的阿里云VPC、服務(wù)器上部署云蜜罐,檢測(cè)您服務(wù)器在云內(nèi)、云外受到的真實(shí)攻擊,甚至溯源反制攻擊者,提升安全感知和威懾能力。本文介紹如何配置云蜜罐。
前提條件
已開(kāi)通云蜜罐功能。具體操作,請(qǐng)參見(jiàn)開(kāi)通云蜜罐服務(wù)。
如果您要在線(xiàn)下IDC中的無(wú)公網(wǎng)服務(wù)器上部署云蜜罐,需要在線(xiàn)下IDC上搭建云蜜罐代理服務(wù)器,然后在云安全中心創(chuàng)建探針時(shí)配置代理IP,實(shí)現(xiàn)云蜜罐代理接入。
準(zhǔn)備至少一臺(tái)用于蜜罐代理的服務(wù)器,確認(rèn)服務(wù)器上已安裝gcc和zlib-devel。
云蜜罐的連接為HTTPS,需要四層代理,下載后編譯安裝的時(shí)候需要加上--with-stream參數(shù)。
tar -xvf nginx-1.9.0.tar.gz cd nginx-1.9.0 ./configure --without-http_rewrite_module --with-stream make make install在Nginx應(yīng)用/usr/local/nginx/conf/目錄下,修改
nginx.conf配置文件。#user nobody; worker_processes auto; error_log logs/error.log; #error_log logs/error.log notice; error_log logs/error.log info; pid logs/nginx.pid; events { use epoll; worker_connections 60000; } stream { server { listen 1337; proxy_timeout 10m; proxy_connect_timeout 60s; proxy_pass proxy1337; } upstream proxy1337 { #蜜罐管理節(jié)點(diǎn)IP可在云蜜罐>配置管理的管理節(jié)點(diǎn)頁(yè)簽下的目標(biāo)管理節(jié)點(diǎn)的管理節(jié)點(diǎn)IP列查看 server #蜜罐管理節(jié)點(diǎn)IP#:1337; } server { listen 1338; proxy_timeout 10m; proxy_connect_timeout 60s; proxy_pass proxy1338; } upstream proxy1338 {‘’ #蜜罐管理節(jié)點(diǎn)IP可在云蜜罐>配置管理的管理節(jié)點(diǎn)頁(yè)簽下的目標(biāo)管理節(jié)點(diǎn)的管理節(jié)點(diǎn)IP列查看 server #蜜罐管理節(jié)點(diǎn)IP#:1338; } }配置文件修改完成后,執(zhí)行以下命令,啟動(dòng)Nginx。
/usr/local/nginx/sbin/nginx
配置流程概述
在配置云蜜罐的過(guò)程中,請(qǐng)確保新增主機(jī)探針?biāo)诘闹鳈C(jī)服務(wù)器能夠成功訪(fǎng)問(wèn)其綁定的相應(yīng)管理節(jié)點(diǎn)。
步驟一:新增管理節(jié)點(diǎn)
管理節(jié)點(diǎn)是提供蜜罐服務(wù)的系統(tǒng),探針轉(zhuǎn)發(fā)的流量最終會(huì)進(jìn)入管理節(jié)點(diǎn)中配置的各種蜜罐服務(wù)。管理節(jié)點(diǎn)是整個(gè)系統(tǒng)的核心與基礎(chǔ)。
登錄云安全中心控制臺(tái)。在控制臺(tái)左上角,選擇需防護(hù)資產(chǎn)所在的區(qū)域:中國(guó)或全球(不含中國(guó))。
在左側(cè)導(dǎo)航欄選擇。
在配置管理頁(yè)面的管理節(jié)點(diǎn)頁(yè)簽,單擊新建節(jié)點(diǎn),完成新建管理節(jié)點(diǎn)的配置,然后單擊確定。
配置項(xiàng)
說(shuō)明
管理節(jié)點(diǎn)名稱(chēng)
設(shè)置管理節(jié)點(diǎn)的名稱(chēng)。
分配探針數(shù)
設(shè)置該管理節(jié)點(diǎn)的探針數(shù)。分配探針數(shù)不能小于20,不能超過(guò)100。設(shè)置的探針數(shù)超過(guò)100時(shí),系統(tǒng)會(huì)自動(dòng)設(shè)置為100。建議每個(gè)C段安裝2~3個(gè)主機(jī)探針,每個(gè)VPC安裝1個(gè)VPC黑洞探針。
說(shuō)明探針的作用是流量導(dǎo)流,云蜜罐支持主機(jī)探針和VPC黑洞探針。
主機(jī)探針:原理為在主機(jī)上安裝Client,將配置的本機(jī)端口流量轉(zhuǎn)發(fā)至后端蜜罐集群。
VPC黑洞探針:當(dāng)VPC內(nèi)IP_A 訪(fǎng)問(wèn)一個(gè)不存在的內(nèi)網(wǎng)IP_B 時(shí),網(wǎng)絡(luò)設(shè)備將流量引流至VPC黑洞探針,VPC黑洞探針根據(jù)所配置的蜜罐映射規(guī)則,建立IP_A 與蜜罐IP_C 的正常連接,此操作對(duì)IP_A 透明。
主機(jī)探針通過(guò)安裝在主機(jī)上,進(jìn)行端口流量導(dǎo)流至蜜罐服務(wù)。VPC黑洞探針安裝在VPC上,將目標(biāo)IP不存在的且為內(nèi)網(wǎng)IP的流量,導(dǎo)入至蜜罐服務(wù)。
放行網(wǎng)段
設(shè)置該管理節(jié)點(diǎn)與主機(jī)探針的放行網(wǎng)段,即允許探針的哪些出口IP訪(fǎng)問(wèn)該管理節(jié)點(diǎn)。默認(rèn)配置為0.0.0.0/0。最多支持設(shè)置100個(gè)放行網(wǎng)段。服務(wù)過(guò)程中探針需要和管理節(jié)點(diǎn)進(jìn)行通信,請(qǐng)確保探針的出口IP在放行網(wǎng)段內(nèi)。
允許蜜罐訪(fǎng)問(wèn)外網(wǎng)
設(shè)置該管理節(jié)點(diǎn)是否允許蜜罐訪(fǎng)問(wèn)外網(wǎng)。
重要開(kāi)啟此功能,可能存在安全風(fēng)險(xiǎn),攻擊者可以成功入侵蜜罐后進(jìn)行強(qiáng)攻擊;不開(kāi)啟的情況下,僅支持攻擊檢測(cè),適用于內(nèi)網(wǎng)場(chǎng)景。
您可以在管理節(jié)點(diǎn)列表中查看您新建的管理節(jié)點(diǎn)。新建的管理節(jié)點(diǎn)的管理節(jié)點(diǎn)狀態(tài)為準(zhǔn)備中,這個(gè)狀態(tài)會(huì)持續(xù)5分鐘左右,請(qǐng)您耐心等待,直到管理節(jié)點(diǎn)狀態(tài)為正常。
(可選)步驟二:蜜罐模板
蜜罐模板功能可針對(duì)不同蜜罐類(lèi)型配置不同的自定義屬性,構(gòu)造出符合業(yè)務(wù)場(chǎng)景的蜜罐,以模擬出更真實(shí)的應(yīng)用。其中可以自定義的蜜罐類(lèi)型包括但不限于網(wǎng)站title、OA背景圖、Web頁(yè)面數(shù)據(jù)等。您可根據(jù)您的業(yè)務(wù)需要定制蜜罐模板。
在配置管理頁(yè)面的蜜罐模板頁(yè)簽的左側(cè)選擇蜜罐類(lèi)型,然后單擊新建模板。
在創(chuàng)建模板面板上,配置蜜罐模板相關(guān)信息,然后單擊確定。
配置項(xiàng)
說(shuō)明
模板名稱(chēng)
設(shè)置蜜罐模板的名稱(chēng)。
管理節(jié)點(diǎn)
選擇部署云蜜罐的管理節(jié)點(diǎn)。即您步驟一中新建的管理節(jié)點(diǎn)。
說(shuō)明蜜罐模板的其他配置項(xiàng)的設(shè)置,因選擇的蜜罐類(lèi)型不同配置也稍有差別。如果您需要設(shè)置這部分配置項(xiàng),具體設(shè)置方法,您可以通過(guò)智能在線(xiàn)聯(lián)系技術(shù)支持人員。
步驟三:新增蜜罐
蜜罐是蜜罐服務(wù)的基礎(chǔ)單位,系統(tǒng)默認(rèn)有許多內(nèi)置蜜罐鏡像,通過(guò)蜜罐鏡像創(chuàng)建對(duì)應(yīng)的蜜罐實(shí)例,從而提供蜜罐服務(wù)。
在配置管理頁(yè)面的蜜罐管理頁(yè)簽,單擊新建蜜罐。
在新建蜜罐面板完成蜜罐配置,然后單擊確定。
配置項(xiàng)
說(shuō)明
名稱(chēng)
設(shè)置蜜罐的名稱(chēng)。
管理節(jié)點(diǎn)
選擇部署云蜜罐的管理節(jié)點(diǎn)。即您在步驟一中新建的管理節(jié)點(diǎn)。
蜜罐類(lèi)型
選擇蜜罐的類(lèi)型。支持選擇的蜜罐的大類(lèi)有以下幾種:
Web
高級(jí)
特殊缺陷
系統(tǒng)服務(wù)
數(shù)據(jù)庫(kù)
自定義蜜罐配置
選中復(fù)選框后,可配置蜜罐的自定義屬性。支持針對(duì)不同蜜罐類(lèi)型配置不同的自定義屬性,構(gòu)造出符合業(yè)務(wù)場(chǎng)景的蜜罐,以模擬出更真實(shí)的應(yīng)用。其中可以自定義的蜜罐類(lèi)型包括但不限于網(wǎng)站標(biāo)題、OA背景圖、Web頁(yè)面數(shù)據(jù)等。
您也可以通過(guò)提前配置蜜罐模板,然后通過(guò)導(dǎo)入模板配置的方式,添加自定義蜜罐配置。
關(guān)于自定義蜜罐、蜜罐模板的配置操作,您可以通過(guò)智能在線(xiàn)聯(lián)系技術(shù)支持人員。
步驟四:新增探針
探針是導(dǎo)流的工具,功能是將主機(jī)、網(wǎng)絡(luò)中的異常流量導(dǎo)流至蜜罐服務(wù),有VPC探針和主機(jī)探針兩種類(lèi)型。
在配置管理頁(yè)面的探針管理頁(yè)簽下,選擇或者VPC黑洞探針。
在探針配置面板,完成探針配置,然后單擊確定。
新增主機(jī)探針的配置項(xiàng)說(shuō)明:
配置項(xiàng)
說(shuō)明
探針名稱(chēng)
設(shè)置探針的名稱(chēng)。
管理節(jié)點(diǎn)
選擇部署探針的服務(wù)器對(duì)應(yīng)的管理節(jié)點(diǎn)。即您步驟一中新建的管理節(jié)點(diǎn)。
代理IP
如果您是通過(guò)代理服務(wù)器在線(xiàn)下IDC服務(wù)器中部署云蜜罐,請(qǐng)?zhí)顚?xiě)代理服務(wù)器的IP;如果不是則不用填寫(xiě)。
部署主機(jī)
選擇部署探針的服務(wù)器。
配置服務(wù)
設(shè)置訪(fǎng)問(wèn)流量轉(zhuǎn)發(fā)的蜜罐的名稱(chēng)和監(jiān)聽(tīng)端口。
說(shuō)明監(jiān)聽(tīng)端口是主機(jī)(例如ECS)上端口,探針會(huì)把訪(fǎng)問(wèn)該端口的流量引流到蜜罐中,所以需要確保主機(jī)上沒(méi)有其他服務(wù)占用該端口,該端口僅提供給探針使用。
新增VPC黑洞探針的配置項(xiàng)說(shuō)明:
重要僅支持在阿里云VPC下創(chuàng)建蜜罐實(shí)例,不支持在其他網(wǎng)絡(luò)下創(chuàng)建。每個(gè)VPC下僅支持創(chuàng)建一個(gè)蜜罐實(shí)例。目前僅支持在部分地域部署VPC黑洞探針。詳細(xì)信息,請(qǐng)參見(jiàn)使用限制。
配置項(xiàng)
說(shuō)明
探針名稱(chēng)
設(shè)置探針的名稱(chēng)。
管理節(jié)點(diǎn)
選擇探針部署的服務(wù)器對(duì)應(yīng)的管理節(jié)點(diǎn)。即您在步驟一中新建的管理節(jié)點(diǎn)。
部署VPC
選擇部署探針的VPC。
配置服務(wù)
設(shè)置訪(fǎng)問(wèn)流量轉(zhuǎn)發(fā)的蜜罐的名稱(chēng)和監(jiān)聽(tīng)端口。
后續(xù)步驟
云蜜罐配置后,云蜜罐通過(guò)探針監(jiān)測(cè)轉(zhuǎn)移攻擊者目標(biāo),讓攻擊者在蜜罐中攻擊真實(shí)偽裝應(yīng)用,并會(huì)記錄這些攻擊的信息形成告警事件。您可以通過(guò)查看和處理告警事件,提升您的服務(wù)器和VPC的安全防御。具體操作,請(qǐng)參見(jiàn)查看和處理告警事件。