ハニーポットの植え付けについて
脆弱性リスクがもたらす影響は拡大しており、企業のシステムを守るためには脆弱性診断が欠かせません。
様々な手法・ツール・サービスがある脆弱性診断において、今回のコラムでは、ツール「WOWHoneypot」を利用したハニーポットの植え付けまでをご紹介いたします。
1.はじめに
気の赴くままにいろいろなセキュリティツールの検証をしてきましたが、楽しそうだけれども大変そうなイメージでこれまで先送りにしていたハニーポットの設置にチャレンジしてみました。
中途半端に始めると全然関係ない方に大迷惑をかけてしまうかもしれないのと、設定が複雑だと途中で飽きてしまうかもしれないので、まずは”なんちゃって”ではじめてみて、さらに深く知りたくなったらそこからまた深入りできればというこの二つを満たすツールが見つかったので、さっそくハニーポッターの世界を少し覗いてみたいと思います。
ツール:WOWHoneypot
参考文書:WOWHoneypotの遊び方(著者:森久 和昭 出版社:株式会社インプレスR&D)
ハニーポットの設置について、今回は「植え付け」までを紹介させていただきます。
なお、記載内容について発生したことのいかなることも責任は負いかねますので、ご自身で検証される際は自己責任でお願いします。
「WOWHoneypot」を植えるまでの感想としては、本当に簡単でした。
クラウド化が進んだこともあり、サーバを準備する必要もなく始められるのがとても便利です。
インターネットの世界では、頻繁にいろんなところから攻撃が行われていると聞きますが、それをお手軽にリアルにまずは体感してみたいという方にはピッタリだと思います。
「WOWHoneypot」は、低対話型のサーバに位置付けられるハニーポットになります。
比較的安全にまずはハニーポットを体感してみたいというニーズに非常にマッチしています。比較的安全というのは、実際にハニーポットとして”ホンモノ”のサーバを使うのではなく、”ニセモノ”を使うからです。
それっぽい挙動を示すだけで”ホンモノ”のサーバを使うわけではなく、サービスはおとりとして動くだけなのでサービスの脆弱性を本当に利用して侵入されるという心配はありません。サービスは本当は動いていないけれども80番ポートにアクセスしてきたら、Apacheが稼働しているように、似せたレスポンスを返答するイメージです。
2.WOWHoneypotの4つの特徴
|
Python3が動作する環境があればすぐに実行可能です。 |
|
分析しやすいようにHTTPの要求を可能な限り保存します。 |
|
アクセスがあればどんなものであっても存在するように見せかけます。 |
|
あらかじめ作成したルールに従い、応答内容を変更します。 |
どれも重要ですが、やはり3が最も重要で攻撃者がアクセスしてきたときに、404 Not foundを返してしまうとそこでサヨナラとなってしまいます。
色目を使う必要があるわけです。でも、肝心なのは渡さない。(というか持っていない)
3.WOWHoneypotの植え付け
3-1.レンタルサーバの準備
いろんなサービスがありますが、利用規約に違反していないこと、実績があることから、Digital Oceanを採用しました。
また、非常に安くサーバを立てることができます。一番安いサーバで十分で400円/月程度です。
3-2.アカウント作成とサーバ作成
Digital Oceanのサイトでアカウントを作成します。サイトの右上のsign UPから、メールアドレスを登録するとメールが届きました。
メールの中のURLから、クレジットカード情報、利用者の情報を入力しすることで、サーバを作成することができます。
二要素認証の設定も可能ですので、設定しておきましょう。
Digital Oceanでは、サーバ作成のことをDropletと呼んでいます。あまり聞きなれないのでピンときません。
「CreateDroplet」ボタンをクリックすることでサーバの作成が可能です。一番安い低スペックの構成でいいと思います。
<サーバ作成例>
これで「create」ボタンをクリックすることで課金がはじまります。
サーバができるまで数分かかります。
3-3.サーバの初期設定
サーバ(Droplet)が出来上がったら、「Console」をクリックします。
rootアカウントでログインします。
以下の操作をしていきます。
- OSのパッケージの更新
#apt update
#apt upgrade - アカウントの作成
#adduser honeypotter - アカウントにログイン
#su - honeypotter - ファイアウォールの設定
rootに戻り、ufwコマンドを使います。 - すべてのアクセスを拒否
#ufw default DENY - SSHポートを許可
#ufw allow 22/tcp - Webサーバポートを許可
#ufw allow 80/tcp - ポートフォワーディング用ポートを許可
#ufw allow 8080/tcp - ufwアクセスリストを有効化
#ufw enable
"y"を入力 -
ポートフォワーディング設定
「/etc/ufw/before.rules」ファイルをエディタで開いて、「*filter」という行よりも前に以下を入力します。
*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
COMMIT
デフォルトでは8080/tcpで待ち受けするようになっていますので、一般的な80/tcpにフォワーディングします。
- リブート
#reboot
3-4.WOWHoneypotインストール
$cd~/
ユーザのホームディレクトリに作成します。
$gitclonehttps://github.com/morihisa/WOWHoneypot.gitwowhoneypot
3-5.動作確認
$cd~/wowhoneypot
$pythhon3./wowhoneypot.py
Python3で作成されているため、Python3で実行します。正常に動作しているかの確認はブラウザから行うことができます。
3-6.ログの確認
$catlog/access_log
こちらにアクセス元からのアクセスが記録されていれば無事に動いています。
おつかれさまです。今回はハニーポットの「植え付け」までの紹介のため、次回は設定やアクセスログを眺めていきたいと思います。