ハニーポット構築(T-Pot : 20.06.0)
6/30 にT-Potのメジャーバージョンアップがあり、19.03.3→20.06.0へバージョンが更新された。
NexGenインストールで4か月検証した結果、満を持してリリースされたようだ。
今回はそのインストール手順と変更点を簡単に紹介する。
環境
・サーバ:さくらのVPS
CPU:6CPU
Memory:8 GB
ストレージ:SSD 800 GB
金額:
ランニング費用:6400円×12か月・・・サーバ利用金額
・T-Pot:20.06.0
・プロキシ:使用しない
・DHCP:使用しない
※色々あってサーバのスケールアップしている。またさくらのVPSはバックアップ機能が無いので利用継続が厳しいと感じています。近々AWS or Azureに変えるかもしれない。
※バージョン19.03.3とインストール手順はほぼ同じである。
構築
※今回もISOイメージからインストールする。
- 以下のURLからT-potのISOイメージを取得する。(2020/7/10現在)
※バージョンによりインストール方法が全く異なるので、適宜読み替える。
さくらのVPSではsftpでisoイメージをマウントできるので、マウントする。
※このときVirtIOを有効にすると最初の再起動後からT-Potのインストール処理に進まないので、VirtIOを「無効にする」インストールが開始するとdebian形式のインストーラが起動し、以下の処理が走る。
debian OSのインストール →再起動(1回目) →T-Potのインストール →再起動(2回目)
- 途中DHCP経由のIP割り当てに失敗するので手動でIPアドレス/サブネットマスク/デフォルトゲートウェイ/ネームサーバを設定する。
プロキシは空欄を指定する。
debianのインストールが完了すると、1回目の再起動が走る。
再起動後にT-Potのインストールが開始する。
⇒今回は「STANDARD」を選択した。
※MEDICAL
のインストールタイプが増えている。
- tsecユーザのパスワードを入力する。(確認を含め2回入力する。)
- webユーザのユーザ名とパスワードを入力する。(確認を含め2回聞かれる。)
- ユーザを入力後、T-Potのインストールが開始する。
- インストール完了後に再起動が発生し、T-Potが起動する。
https://<IPアドレス>:64297
でDashboardへアクセスする。
19.03の時のようにKibanaの画面には遷移せずにツール一覧が表示される。
色合いも明るい色調から暗い色調へ変更されている。Kibana
を選択する。
- KibanaのDashbord画面が表示される。
- 7/6以前にアップデートした際にLogstashの仕様変更でKibanaにログが取り込まれない現象が発生していた。7/7に本現象は解決され、現在はinstall.sh or update.sh共に改善されている。
- [Monitoring]タブは最初停止している。起動させるとElasticsearchとKibanaの収集が開始する。
※[Logs]の箇所についてはFilebeatの設定が別途必要のようだ。
- この後VirusTotal連携設定/nmap回避設定/iptables設定/logrotation設定を一通り実施した。
今までの運用実績からErasticsearchのIndexの保存期間は45日がベストかと個人的には思う。
(あまり長いとErasticsearchでの検索時にTimeoutが発生するため。)
入れた後の所感
・Dicompot(医療系)/Honeysap (SAPサービス)/Elasticpot(Elasticsearch)の
ハニーポットが追加され、楽しみが増えました!!
・Elasticsearchのログ処理でFilebeatの設定が必要のようで、現在手順を確認中。
・全体的に暗い色調になり、ハッカーらしさが増した気がする...
最後に
・7/11は16時からTSG CTF2020が開催される。
チーム参加するので16時からが楽しみ~。o(●´ω`●)oわくわく♪
・コロナウィルスの感染者が224人(7/10時点)と第2波の様相を呈している。
まだまだ気は抜けなさそうだ。
・amazonの電子書籍セールで散財してしまった。お品書きはこちらです。
- Elasticsearch実践ガイド impress top gearシリーズ
- はじめて学ぶバイナリ解析
- JavaScriptNinjaの極意
取り急ぎ、今日はここまで!!