linux安全团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > linux安全 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

搭建企业蜜网时如何在内网区域变“废”为宝

文章来源：重庆网站建设围观次数：

分享到:

摘要：正常情况下是在公网，DMZ和内网办公区域中部署三层蜜罐系统。今天，我们仅讨论在搭建企业蜜网时如何在内网区域变“废”为宝，而不仅仅是几个可怜的蜜罐。

正常情况下是在公网，DMZ和内网办公区域中部署三层蜜罐系统。今天，我们仅讨论在搭建企业蜜网时如何在内网区域变“废”为宝，而不仅仅是几个可怜的蜜罐。当然，该解决方案属于一个低交互性蜜罐，它是一个由低交互性蜜罐组成的完整蜜罐网络，该网络将我们当前的服务器组装成一个哨兵。低交互蜜罐的工作原理实际上并不复杂。一旦攻击者突破了外部网络，他就会在特定服务器上执行端口扫描检测，触摸蜜罐陷阱节点，然后将蜜罐流量传输到蜜罐服务器并生成警报。如下图所示：

目前，大多数蜜罐系统都处于上述情况。一些IP被捆绑为各个网段中的蜜罐节点，等待被触发。启用哨兵蜜网后，所有主机都是蜜罐，并且所有端口都被混淆。

在这里，我们使用开源的Visual Syslog Server，Visual Syslog Server for Windows是免费的开源程序，用于接收和查看Syslog消息。当然，如果有自己的SYSLOG平台，就没有问题。如果可以在Splunk平台上进一步处理收集的SYSLOG日志，那就更好了。

之所以使用Visual Syslog Server for Windows，实际上是因为它的质量好，特别是内置的消息流处理模块非常有用。它可以对我们的SYSLOG日志执行消息处理，例如触发某个条件之后，通过消息处理播放异常的警报声音效果或发送邮件以执行程序，等等。

在此跳过如何设置和使用，属于一装即用。我们首先自行安装和构建Syslog Server平台，以供哨兵蜜网收集日志。

首先，我们假设Nmap扫描内部网络中的存活主机。我们可以看到目标主机之一是一台服务器，其服务器已打开80、3389。

现在尝试在主机上运行哨兵程序并启用哨兵端口，例如：

这里打开了端口21、23、80、1433和3389。我们可以看到系统已经占用了80和3389，因此在运行脚本之后，端口80和3389已被占用，并且后台任务会自动显示完成状态。不影响当前的系统运行业务。

再次扫描后，如下图所示，可以发现已打开新端口：21、23、1433等。

尝试使用telnet连接到端口21，可以看到SYSLOG服务器收到了警报日志

在另一个测试案例中，连接到端口3306触发警报

让我们测试蜜网上Nmap的扫描情况，并在主机上启用以下端口

Nmap -sS（TCP SYN扫描，无警报）

Nmap -sA（TCP ACK扫描，无警报）

Nmap -O（OS检测扫描，无告警）

Nmap -sT（TCP连接扫描，警报）

Nmap -sV（端口服务扫描，警报）

Nmap -A（全面扫描，警报）

这样，对SYN扫描不敏感可以减少大多数扫描情况，并完美达到减少误报的目的。有条件的兄弟可以与SPLUNK等数据平台结合使用，以实现美观的数据可视化和警报警告，还可以过滤其他错误警报和组合警报情况！

有许多开源的商业蜜罐解决方案，它们也非常先进并且可以实现许多功能，但是它们通常不那么容易部署，并且需要部署各种资源。本文中的哨兵蜜网在部署中有自然的优势。主体由PowerShell脚本组成，并依赖Windows服务，优点明显。可以通过域控制进行部署。该哨兵程序可以在低特权用户下运行。PS脚本本身可以简单修改，端口号和白名单都写到脚本文件本身中，然后进行了一定程度的混淆，例如通过Invoke-Obfuscation脚本进行加密。

在代码中，邮件警报也可以实现，但是通常不建议直接使用电子邮件警报，最佳实现方法仍应属于SPLUNK/ELK/GRAYLOG和其他解决方案。

下面提供一些部署计划，因为它是批处理，Powershell脚本，当然也可以自己玩。

解决方案1，最简单的解决方案，是在需要运行以部署混乱端口的主机上执行哨兵程序，当关闭该端口时消失，因此可以使用PSEXEC或其他系统将其大量部署到主机上，或者甚至要求用户手动执行。

第二种解决方案是通过计划任务部署计划任务，随开机而启动，但是请注意，如果要在后台运行计划任务，则需要进行适当的调整。如果您是在ADMIN权限下运行的，那么没关系，只需添加延迟执行时间即可。（目的是防止哨兵程序在系统启动后优先于系统的正常服务占用端口）。

因为我们正在考虑设置低特权用户，所以在本地安全策略中，添加

设置计划任务时，尝试将任务时间延迟至少5分钟。

解决方案三，最简单，最愚蠢的方法，一键式全局蜜网，在GPO下执行命令，当然，为了防止人们轻易看到脚本的内容，可以使用脚本执行模糊加密。请注意，由于需要避免退出代码，因此在执行Powershell时需要添加参数-noexit，因此在执行GPO分发时必须注意作为SYSTEM的运行权限。因此，担心的朋友需要仔细考虑执行权限和其他方法。