配置云蜜罐
您可以使用云蜜罐功能,通過在您的阿里云VPC、服務(wù)器上部署云蜜罐,檢測您服務(wù)器在云內(nèi)、云外受到的真實攻擊,甚至溯源反制攻擊者,提升安全感知和威懾能力。本文介紹如何配置云蜜罐。
前提條件
已開通云蜜罐功能。具體操作,請參見開通云蜜罐服務(wù)。
如果您要在線下IDC中的無公網(wǎng)服務(wù)器上部署云蜜罐,需要在線下IDC上搭建云蜜罐代理服務(wù)器,然后在云安全中心創(chuàng)建探針時配置代理IP,實現(xiàn)云蜜罐代理接入。
準(zhǔn)備至少一臺用于蜜罐代理的服務(wù)器,確認服務(wù)器上已安裝gcc和zlib-devel。
云蜜罐的連接為HTTPS,需要四層代理,下載后編譯安裝的時候需要加上--with-stream參數(shù)。
tar -xvf nginx-1.9.0.tar.gz cd nginx-1.9.0 ./configure --without-http_rewrite_module --with-stream make make install
在Nginx應(yīng)用/usr/local/nginx/conf/目錄下,修改
nginx.conf
配置文件。#user nobody; worker_processes auto; error_log logs/error.log; #error_log logs/error.log notice; error_log logs/error.log info; pid logs/nginx.pid; events { use epoll; worker_connections 60000; } stream { server { listen 1337; proxy_timeout 10m; proxy_connect_timeout 60s; proxy_pass proxy1337; } upstream proxy1337 { #蜜罐管理節(jié)點IP可在云蜜罐>配置管理的管理節(jié)點頁簽下的目標(biāo)管理節(jié)點的管理節(jié)點IP列查看 server #蜜罐管理節(jié)點IP#:1337; } server { listen 1338; proxy_timeout 10m; proxy_connect_timeout 60s; proxy_pass proxy1338; } upstream proxy1338 {‘’ #蜜罐管理節(jié)點IP可在云蜜罐>配置管理的管理節(jié)點頁簽下的目標(biāo)管理節(jié)點的管理節(jié)點IP列查看 server #蜜罐管理節(jié)點IP#:1338; } }
配置文件修改完成后,執(zhí)行以下命令,啟動Nginx。
/usr/local/nginx/sbin/nginx
配置流程概述
在配置云蜜罐的過程中,請確保新增主機探針?biāo)诘闹鳈C服務(wù)器能夠成功訪問其綁定的相應(yīng)管理節(jié)點。
步驟一:新增管理節(jié)點
管理節(jié)點是提供蜜罐服務(wù)的系統(tǒng),探針轉(zhuǎn)發(fā)的流量最終會進入管理節(jié)點中配置的各種蜜罐服務(wù)。管理節(jié)點是整個系統(tǒng)的核心與基礎(chǔ)。
登錄云安全中心控制臺。在控制臺左上角,選擇需防護資產(chǎn)所在的區(qū)域:中國或全球(不含中國)。
在左側(cè)導(dǎo)航欄選擇
。在配置管理頁面的管理節(jié)點頁簽,單擊新建節(jié)點,完成新建管理節(jié)點的配置,然后單擊確定。
配置項
說明
管理節(jié)點名稱
設(shè)置管理節(jié)點的名稱。
分配探針數(shù)
設(shè)置該管理節(jié)點的探針數(shù)。分配探針數(shù)不能小于20,不能超過100。設(shè)置的探針數(shù)超過100時,系統(tǒng)會自動設(shè)置為100。建議每個C段安裝2~3個主機探針,每個VPC安裝1個VPC黑洞探針。
說明探針的作用是流量導(dǎo)流,云蜜罐支持主機探針和VPC黑洞探針。
主機探針:原理為在主機上安裝Client,將配置的本機端口流量轉(zhuǎn)發(fā)至后端蜜罐集群。
VPC黑洞探針:當(dāng)VPC內(nèi)IP_A 訪問一個不存在的內(nèi)網(wǎng)IP_B 時,網(wǎng)絡(luò)設(shè)備將流量引流至VPC黑洞探針,VPC黑洞探針根據(jù)所配置的蜜罐映射規(guī)則,建立IP_A 與蜜罐IP_C 的正常連接,此操作對IP_A 透明。
主機探針通過安裝在主機上,進行端口流量導(dǎo)流至蜜罐服務(wù)。VPC黑洞探針安裝在VPC上,將目標(biāo)IP不存在的且為內(nèi)網(wǎng)IP的流量,導(dǎo)入至蜜罐服務(wù)。
放行網(wǎng)段
設(shè)置該管理節(jié)點與主機探針的放行網(wǎng)段,即允許探針的哪些出口IP訪問該管理節(jié)點。默認配置為0.0.0.0/0。最多支持設(shè)置100個放行網(wǎng)段。服務(wù)過程中探針需要和管理節(jié)點進行通信,請確保探針的出口IP在放行網(wǎng)段內(nèi)。
允許蜜罐訪問外網(wǎng)
設(shè)置該管理節(jié)點是否允許蜜罐訪問外網(wǎng)。
重要開啟此功能,可能存在安全風(fēng)險,攻擊者可以成功入侵蜜罐后進行強攻擊;不開啟的情況下,僅支持攻擊檢測,適用于內(nèi)網(wǎng)場景。
您可以在管理節(jié)點列表中查看您新建的管理節(jié)點。新建的管理節(jié)點的管理節(jié)點狀態(tài)為準(zhǔn)備中,這個狀態(tài)會持續(xù)5分鐘左右,請您耐心等待,直到管理節(jié)點狀態(tài)為正常。
(可選)步驟二:蜜罐模板
蜜罐模板功能可針對不同蜜罐類型配置不同的自定義屬性,構(gòu)造出符合業(yè)務(wù)場景的蜜罐,以模擬出更真實的應(yīng)用。其中可以自定義的蜜罐類型包括但不限于網(wǎng)站title、OA背景圖、Web頁面數(shù)據(jù)等。您可根據(jù)您的業(yè)務(wù)需要定制蜜罐模板。
在配置管理頁面的蜜罐模板頁簽的左側(cè)選擇蜜罐類型,然后單擊新建模板。
在創(chuàng)建模板面板上,配置蜜罐模板相關(guān)信息,然后單擊確定。
配置項
說明
模板名稱
設(shè)置蜜罐模板的名稱。
管理節(jié)點
選擇部署云蜜罐的管理節(jié)點。即您步驟一中新建的管理節(jié)點。
說明蜜罐模板的其他配置項的設(shè)置,因選擇的蜜罐類型不同配置也稍有差別。如果您需要設(shè)置這部分配置項,具體設(shè)置方法,您可以通過智能在線聯(lián)系技術(shù)支持人員。
步驟三:新增蜜罐
蜜罐是蜜罐服務(wù)的基礎(chǔ)單位,系統(tǒng)默認有許多內(nèi)置蜜罐鏡像,通過蜜罐鏡像創(chuàng)建對應(yīng)的蜜罐實例,從而提供蜜罐服務(wù)。
在配置管理頁面的蜜罐管理頁簽,單擊新建蜜罐。
在新建蜜罐面板完成蜜罐配置,然后單擊確定。
配置項
說明
名稱
設(shè)置蜜罐的名稱。
管理節(jié)點
選擇部署云蜜罐的管理節(jié)點。即您在步驟一中新建的管理節(jié)點。
蜜罐類型
選擇蜜罐的類型。支持選擇的蜜罐的大類有以下幾種:
Web
高級
特殊缺陷
系統(tǒng)服務(wù)
數(shù)據(jù)庫
自定義蜜罐配置
選中復(fù)選框后,可配置蜜罐的自定義屬性。支持針對不同蜜罐類型配置不同的自定義屬性,構(gòu)造出符合業(yè)務(wù)場景的蜜罐,以模擬出更真實的應(yīng)用。其中可以自定義的蜜罐類型包括但不限于網(wǎng)站標(biāo)題、OA背景圖、Web頁面數(shù)據(jù)等。
您也可以通過提前配置蜜罐模板,然后通過導(dǎo)入模板配置的方式,添加自定義蜜罐配置。
關(guān)于自定義蜜罐、蜜罐模板的配置操作,您可以通過智能在線聯(lián)系技術(shù)支持人員。
步驟四:新增探針
探針是導(dǎo)流的工具,功能是將主機、網(wǎng)絡(luò)中的異常流量導(dǎo)流至蜜罐服務(wù),有VPC探針和主機探針兩種類型。
在配置管理頁面的探針管理頁簽下,選擇 或者VPC黑洞探針。
在探針配置面板,完成探針配置,然后單擊確定。
新增主機探針的配置項說明:
配置項
說明
探針名稱
設(shè)置探針的名稱。
管理節(jié)點
選擇部署探針的服務(wù)器對應(yīng)的管理節(jié)點。即您步驟一中新建的管理節(jié)點。
代理IP
如果您是通過代理服務(wù)器在線下IDC服務(wù)器中部署云蜜罐,請?zhí)顚懘矸?wù)器的IP;如果不是則不用填寫。
部署主機
選擇部署探針的服務(wù)器。
配置服務(wù)
設(shè)置訪問流量轉(zhuǎn)發(fā)的蜜罐的名稱和監(jiān)聽端口。
說明監(jiān)聽端口是主機(例如ECS)上端口,探針會把訪問該端口的流量引流到蜜罐中,所以需要確保主機上沒有其他服務(wù)占用該端口,該端口僅提供給探針使用。
新增VPC黑洞探針的配置項說明:
重要僅支持在阿里云VPC下創(chuàng)建蜜罐實例,不支持在其他網(wǎng)絡(luò)下創(chuàng)建。每個VPC下僅支持創(chuàng)建一個蜜罐實例。目前僅支持在部分地域部署VPC黑洞探針。詳細信息,請參見使用限制。
配置項
說明
探針名稱
設(shè)置探針的名稱。
管理節(jié)點
選擇探針部署的服務(wù)器對應(yīng)的管理節(jié)點。即您在步驟一中新建的管理節(jié)點。
部署VPC
選擇部署探針的VPC。
配置服務(wù)
設(shè)置訪問流量轉(zhuǎn)發(fā)的蜜罐的名稱和監(jiān)聽端口。
后續(xù)步驟
云蜜罐配置后,云蜜罐通過探針監(jiān)測轉(zhuǎn)移攻擊者目標(biāo),讓攻擊者在蜜罐中攻擊真實偽裝應(yīng)用,并會記錄這些攻擊的信息形成告警事件。您可以通過查看和處理告警事件,提升您的服務(wù)器和VPC的安全防御。具體操作,請參見查看和處理告警事件。