鯖防人は忘れる。

機械音痴の鯖防人が忘れないように…

Honeypot運用にあたって初心者が最低限注意すべきことについて考える

Advent Calendar セキュリティ

この記事はHoneypot Advent Calendar 2017の18日目です。


こんにちは。機械音痴の鯖防人です。
今回は、Honeypot Advent Calendar 2017の記事として書いていきます。
ハニーポッターとしては1年生で、まだまだ知らないことだらけですが
枠が空いていたので、せっかくだから、ということで僭越ながら書かせていただきます。
内容に問題がありましたら、ご指摘をお願いします。
単に"Honeypot"としていますが、サーバ型のHoneypotと思ってください。

高対話型と低対話型

Honeypotの分類はさまざまですが、ここでは「高対話型」「低対話型」について取り上げます。
個人的に、この分類基準は難しいと感じるのですが
一般的なサーバに近いのが高対話型、そうでないのが低対話型です。
高対話型のものは低対話型のものに比べ攻撃者に侵入されやすいので
特別な環境を用意しない限り、低対話型のものが良いでしょう。
(低対話型でも十分に楽しめます)

ネットワーク設計

個人的には、ここが最も重要だと考えています。
Honeypotにおける第一のセキュリティリスクとして
「悪性のある通信パケットがガンガン飛んでくる」ということが挙げられます。
これを止めてしまうと、攻撃者へHoneypotのいい匂いが届かなくなってしまい(!)
攻撃が来なくなってしまうので、止めることはできませんが
ネットワークをきちんと設計・構築することによって他のPCなどへの飛び火を防ぐことができます。
間違っても、おうちネットワークでHoneypot運用はしないようにしましょう。

1つ目の案:セグメント分離

ルータやスイッチを使って、
おうちネットワークとHoneypotネットワークを完全に分離します。
この2つのネットワークをルーティングしないようにしておきます。
ファイアウォールを使ってDMZを構築するのがいいかと思います。

2つ目の案:専用ISP

例としてフレッツ光ネクストを挙げますが、フレッツ光ネクストでは2セッションまでOKとなっています。
これは、1つの回線で2ISPまで使用可能ということです。
おうち用とHoneypot用でそれぞれ別のISPを契約してやれば、
別のグローバルIPアドレスが振られるため、
内部で2つのネットワークをルーティングしない限り、完全に分離したネットワークになります。

3つ目の案:クラウドで運用

多くのVPSサービスでは、Honeypotの運用が禁止されていますが
中にはHoneypotの運用が認められているVPSサービスもあります。
VPSで運用すれば、おうちネットワークに影響が出ることはありません。
どういうVPSサービスならHoneypot運用ができるのかについては、
詳しくまとめている方がいらっしゃるのでそちらをご覧ください。
  くろひょうのぶろぐ - ハニーポットの運用が規約違反でないか調べてみた
ただ、Honeypot運用が認められているVPSサービスだからといっても
踏み台になってしまったりして他の利用者やサービス自体に迷惑をかけてしまうと
サーバを落とされますのでご注意ください。

log保全・解析

Honeypotにおいてlogの保存、そして解析は重要な要素です。
*解析の手法はさまざまですので、ぜひググってください*
*ElasticsearchとかKibanaとかを使って解析することが多いのではと思います(私はあまり好きではないですが…)*
Honeypotのlogはアクセスlog等を中心に膨大になります。
不要な情報を出力しないようにHoneypotを設定しておくのも良いかもしれません。
また、logrotateを適切に設定することも必要です。
logが膨大になるとストレージ不足になって落ちるので、注意です。

マルウェア

Honeypotを運用していると、マルウェアを投げつけられることが時々あります。
「これなんだろう?」って思ってファイルを開くと、最悪の場合感染するので気をつけましょう。
マルウェアは、除去するなりなんなりして適切に処理しましょう。
マルウェアの所持についてはいろいろ面倒くさいのでご注意ください

さいごに

Honeypot用のネットワークについて考えようと思って書いていたら
結果的に、Honeypot運用にあたって気をつけるべきことの羅列()になってました。
ただ、以上の内容では不十分でありますので、しっかり調べて
しっかりとしたセキュリティ対策をお願いしますm(__)m
Honeypot構築・運用にあたって不安なこと、わからないことは
ぜひ有識者に質問してみましょう!
ハニーポッターの方々ならきっと教えてくださるはずです。

拙く、薄い内容になってしまいましたが、読んでいただきありがとうございました。
私もハニーポッターとなるべく精進していこうと思います。

#余力がありましたら、内容を追加していくかもしれません。