|
我的家庭网络原有安全防护方案不够主动,本系列来点主动的,蜜罐建设。蜜罐,顾名思义,它是一种基于欺骗伪装技术的安全服务,通过在网络中设置诱饵,诱捕恶意用户的行为,从而帮助检测和响应网络攻击。现在就来给咱们的家庭 NAS 私有云安排一套这个系统,当然了,作为家庭用户,这里优先选用免费的方案 HFish 。HFish 侧重企业安全场景,当然也能应用于家庭网络场景,它具有超过 90 多种蜜罐环境,同时还提供免费的云蜜罐,可高度自定义蜜饵能力。
需求分析
现阶段家庭网络采用了哪些安全措施来应对安全威胁,并保障家庭的数据安全的?网络层面,目前采用的是 pfSense ,隔离各大区域。应用层面,引入社区版长亭雷池 WAF ,防护一部分 Web 应用的恶意攻击,然而业务层面的攻击尚处于短板期。主机层面,则采用了开源的 wazuh ,用作最后一公里的威胁监测。
上面介绍的这三款免费的安全产品,主要侧重于被动防护或监控,它们等待攻击或恶意活动的发生并做出响应。而蜜罐系统为主动引诱型,它故意展示一些易受攻击的特性,吸引恶意用户进入并进行操作,从而捕获恶意用户的行为和攻击技术。
为什么选择 HFish
免费、简单、安全的蜜罐产品。HFish 是一款社区型免费蜜罐,具有轻量级检测能力,低误报率,可作为生产本地威胁情报的优质来源。
安全、敏捷的威胁感知节点。HFish 被广泛应用于感知失陷主机横向移动、账号外泄、扫描和探测行为、私有情报生产,HFish 的多种告警输出形式与其他安全日志、系统日志相结合,可极大拓展检测视野。
方案简述
我的家庭 NAS 私有云主要涉及两个大的区域,一个可信内网区,主要对内提供服务,另一个则是非可信 DMZ 区(非军事化区),主要对外公开网站。本系列从内网失陷检测和外网威胁感知两个场景出发,来构建我的家庭网络欺骗防御系统,主动抓取潜在的安全威胁,以便后续联动阻断措施并实现自动化。
内网板块,我把客户端节点安排在 web 网关入口,它更容易吸引恶意用户,各个区域都可能存在流量汇聚于此,是一个天然的活靶子,是部署蜜罐客户端节点的绝佳位置。
外网板块,只涉及一个 DMZ 区域,假装将一些家庭常用的文件服务、堡垒机、知识库、源码仓库,如群晖 NAS 等,以蜜罐的形式给它暴露出去,为了更好的融入业务中,我将这些蜜罐系统安排独立的域名,且网络链路也与正常的服务保持一致。同时将蜜罐系统混合在公开的导航页里边,让恶意用户容易找到它,当然,更高阶的恶意用户会通过威胁情报平台来挖掘到我的这些子域名,反正就是要让这些坏人能够找到这些地址就可以了。
控制台配置预览
本次演示所布置的蜜罐包含了 1 个服务端和 2 个客户端节点,每个客户端节点配置 20 个蜜罐系统,累计 40 个蜜罐系统。
攻击模拟
打开部署好的蜜罐系统,其实就是一个很简单的仿冒网页,输入数据并提交,即可触发安全告警。
查看攻击大盘
企微告警
HFish 支持多种告警方式,我这里选取了企微机器人告警。
告警内容字段非常丰富,可以看出源地址 IP 能够正常取到,符合安全运营要求。
结语
HFish 的官方文档非常详尽,有各种最佳实践的建议,各位感兴趣的小伙伴可以尝试去部署,如果涉及对外公开蜜罐系统,蜜罐服务端最好放在不受信任区域,严格做好网络隔离。除此之外,各位小伙伴有更好的蜜罐推荐吗?
| 
