网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线: 152-150-65-006 023-68263070 扫描二维码加我微信 在线QQ

linux安全团结互助,让我们共同进步!

当前位置:主页 > 技术资讯 > 网络安全 > linux安全 >

我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧

搭建企业蜜网时如何在内网区域变“废”为宝

文章来源:重庆网站建设 发布时间:2020-08-21 12:58:02 围观次数:
分享到:

摘要:正常情况下是在公网,DMZ和内网办公区域中部署三层蜜罐系统。今天,我们仅讨论在搭建企业蜜网时如何在内网区域变“废”为宝,而不仅仅是几个可怜的蜜罐。

  正常情况下是在公网,DMZ和内网办公区域中部署三层蜜罐系统。今天,我们仅讨论在搭建企业蜜网时如何在内网区域变“废”为宝,而不仅仅是几个可怜的蜜罐。当然,该解决方案属于一个低交互性蜜罐,它是一个由低交互性蜜罐组成的完整蜜罐网络,该网络将我们当前的服务器组装成一个哨兵。低交互蜜罐的工作原理实际上并不复杂。 一旦攻击者突破了外部网络,他就会在特定服务器上执行端口扫描检测,触摸蜜罐陷阱节点,然后将蜜罐流量传输到蜜罐服务器并生成警报。如下图所示:

blob.png

blob.png

  目前,大多数蜜罐系统都处于上述情况。一些IP被捆绑为各个网段中的蜜罐节点,等待被触发。启用哨兵蜜网后,所有主机都是蜜罐,并且所有端口都被混淆。

blob.png

  在这里,我们使用开源的Visual Syslog Server,Visual Syslog Server for Windows是免费的开源程序,用于接收和查看Syslog消息。当然,如果有自己的SYSLOG平台,就没有问题。如果可以在Splunk平台上进一步处理收集的SYSLOG日志,那就更好了。

blob.png

  之所以使用Visual Syslog Server for Windows,实际上是因为它的质量好,特别是内置的消息流处理模块非常有用。它可以对我们的SYSLOG日志执行消息处理,例如触发某个条件之后,通过消息处理播放异常的警报声音效果或发送邮件以执行程序,等等。

blob.png

  在此跳过如何设置和使用,属于一装即用。我们首先自行安装和构建Syslog Server平台,以供哨兵蜜网收集日志。

blob.png

 首先,我们假设Nmap扫描内部网络中的存活主机。我们可以看到目标主机之一是一台服务器,其服务器已打开80、3389。

blob.png

  现在尝试在主机上运行哨兵程序并启用哨兵端口,例如:

blob.png

  这里打开了端口21、23、80、1433和3389。我们可以看到系统已经占用了80和3389,因此在运行脚本之后,端口80和3389已被占用,并且后台任务会自动显示完成状态。不影响当前的系统运行业务。

  再次扫描后,如下图所示,可以发现已打开新端口:21、23、1433等。

blob.png

  尝试使用telnet连接到端口21,可以看到SYSLOG服务器收到了警报日志

blob.png

  在另一个测试案例中,连接到端口3306触发警报

blob.png

blob.png

blob.png

  让我们测试蜜网上Nmap的扫描情况,并在主机上启用以下端口

blob.png

  Nmap -sS(TCP SYN扫描,无警报)

  Nmap -sA(TCP ACK扫描,无警报)

  Nmap -O(OS检测扫描,无告警)

blob.png

  Nmap -sT(TCP连接扫描,警报)

  Nmap -sV(端口服务扫描,警报)

  Nmap -A(全面扫描,警报)

blob.png

  这样,对SYN扫描不敏感可以减少大多数扫描情况,并完美达到减少误报的目的。有条件的兄弟可以与SPLUNK等数据平台结合使用,以实现美观的数据可视化和警报警告,还可以过滤其他错误警报和组合警报情况!


  有许多开源的商业蜜罐解决方案,它们也非常先进并且可以实现许多功能,但是它们通常不那么容易部署,并且需要部署各种资源。本文中的哨兵蜜网在部署中有自然的优势。主体由PowerShell脚本组成,并依赖Windows服务,优点明显。可以通过域控制进行部署。该哨兵程序可以在低特权用户下运行。PS脚本本身可以简单修改,端口号和白名单都写到脚本文件本身中,然后进行了一定程度的混淆,例如通过Invoke-Obfuscation脚本进行加密。


  在代码中,邮件警报也可以实现,但是通常不建议直接使用电子邮件警报,最佳实现方法仍应属于SPLUNK/ELK/GRAYLOG和其他解决方案。

blob.png

  下面提供一些部署计划,因为它是批处理,Powershell脚本,当然也可以自己玩。


  解决方案1,最简单的解决方案,是在需要运行以部署混乱端口的主机上执行哨兵程序,当关闭该端口时消失,因此可以使用PSEXEC或其他系统将其大量部署到主机上,或者甚至要求用户手动执行。


  第二种解决方案是通过计划任务部署计划任务,随开机而启动,但是请注意,如果要在后台运行计划任务,则需要进行适当的调整。如果您是在ADMIN权限下运行的,那么没关系,只需添加延迟执行时间即可。(目的是防止哨兵程序在系统启动后优先于系统的正常服务占用端口)。


  因为我们正在考虑设置低特权用户,所以在本地安全策略中,添加


blob.png

 设置计划任务时,尝试将任务时间延迟至少5分钟。

blob.png

blob.png

  解决方案三,最简单,最愚蠢的方法,一键式全局蜜网,在GPO下执行命令,当然,为了防止人们轻易看到脚本的内容,可以使用脚本执行模糊加密。请注意,由于需要避免退出代码,因此在执行Powershell时需要添加参数-noexit,因此在执行GPO分发时必须注意作为SYSTEM的运行权限。因此,担心的朋友需要仔细考虑执行权限和其他方法。

blob.png

  当然,也可以通过启动脚本,自启动菜单等执行。

blob.png

  这样,我们建立了傻瓜化的一键全域蜜网。所有Windows主机立即变成了蜜罐系统,有效地弥补了构建蜜罐的麻烦缺点,从而允许在所有主机上建立哨兵,甚至可以与蜜账户,蜜SPN等结合使用,以实现多维,多角度,全方位无死角的蜜网。

本文由 重庆网站建设 整理发布,转载请保留出处,内容部分来自于互联网,如有侵权请联系我们删除。

相关热词搜索:搭建企业蜜网 内网

上一篇:Kali Linux即将推出的2020.1版安全模型重大改革——默认非root用户
下一篇:最后一页

热门资讯

鼠标向下滚动