====== Zapojení do Huga ====== ===== Registrace Warden klienta ===== Jelikož je projekt Hugo poměrně pevně svázán s odesíláním událostí do systému [[https://warden.cesnet.cz|Warden]], je potřeba požádat o registraci klienta do tohoto systému. K tomuto existuje samostatná [[https://warden.cesnet.cz/cs/participation|webová stránka]], na které najdete veškeré podrobnosti. Naše obrazy s virtuálními stroji obsahují funkcionalitu automatické registrace klienta do systému Warden. Po prvním startu virtuálního stroje stačí zodpovědět několik dotazů, načež nám bude odeslán požadavek k registraci honeypotu do systému. V případě, že honeypot bude schválen, se virtuální stroj během hodiny nastaví, stáhne certifikát pro předávání údajů, a začne zachytávat útoky. V případě nejasností Vás budeme kontaktovat zpět prostřednictvím poskytnutých údajů. Za ideální model považujeme, že každý virtuální stroj bude registrován jako samostatný Warden klient. ===== Jak začít sbírat data ===== Vaše cesta začne buď [[cs:downloads|stažením balíčku]] s předpřipraveným virtuálním strojem – v takovém případě budete potřebovat hypervizor, kde daný stroj importujete. **Minimální požadavky na přidělené zdroje:** * 1 vCPU * 1 GB RAM (512 MB je v některých případech příliš málo) * 4 GB diskového prostoru * 1 IPv4 adresa + doporučujeme 1 IPv6 adresu Druhou možností je nainstalovat si honeypot svépomocí a použít námi předpřipravené pluginy pro logování, kterými vytvoříte eventy ve formátu [[https://idea.cesnet.cz|IDEA]], které pak budete odesílat na servery Wardenu, třeba prostřednictvím Warden Fileru. Vše je ke stažení opět [[cs:downloads|v sekci Ke stažení]]. ===== Otevřené porty ===== Honeypot lze provozovat buď na veřejné IP adrese, nebo i na vnitřní síti, kde na firewallu či routeru nastavíte přesměrování portu (Destination NAT) na Vaši privátní IP. V případě použití privátní adresy je třeba správně nastavit veřejnou IPv4 pro účely zaznamenávání událostí. Níže nabízíme přehled portů, které otevírají naše virtuální stroje a je vhodné je povolit na vašem firewallu. **Příchozí spojení:** ^ Honeypot ^ Port ^ Směr ^ Popis ^ | Cowrie | 22 (TCP) | příchozí | SSH | | Dionaea | 22 (TCP) | příchozí | SSH (pro správu virtuálního stroje) | | Dionaea | 21 (TCP) | příchozí | FTP, řídicí kanál | | Dionaea | náhodný (TCP) | příchozí | FTP, datový kanál pro pasivní spojení | | Dionaea | 1433 (TCP) | příchozí | MS SQL | | Dionaea | 3306 (TCP) | příchozí | MySQL | | Dionaea | 69 (UDP) | příchozí | TFTP | **Odchozí spojení** Uvedena jsou spojení nezbytná pro provoz honeypotu. Většina uvedených strojů má pevnou IP adresu. * sulu.cesnet.cz, port 443 (TCP) – automatická registrace a monitoring honeypotu * ftp.zcu.cz, porty 80 a 443 (TCP) – aktualizace systému Debian * Fastly CDN, porty 80 a 443 (TCP) – bezpečnostní aktualizace systému Debian (debian-security) * warden-hub.cesnet.cz, port 443 (TCP) – odesílání událostí * tik.cesnet.cz, tak.cesnet.cz, port 123 (TCP/UDP) – synchronizace času prostřednictvím protokolu NTP Následující spojení můžete dále vidět v procesu registrace a aktivace: * resolver1.opendns.com, port 53 (UDP/TCP) – detekce veřejné IPv4 a IPv6 adresy přes DNS dotaz * //výchozí brána//, port 1456 (TCP) – detekce démona pro resolving veřejné IP adresy z conntracku (FIXME odkaz na repozitář) * gitlab.cesnet.cz, port 443 (TCP) – stažení aktuální verze konektorů pro odesílání událostí do Wardenu Honeypot Cowrie dále umožňuje odchozí spojení přes protokoly HTTP/HTTPS; doporučujeme to povolit. Přestože současná implementace neumožní vytvoření spojení s adresou z lokálních rozsahů (tj. jiné než globální adresy z [[https://www.iana.org/assignments/iana-ipv4-special-registry/iana-ipv4-special-registry.xhtml|iana-ipv4-special-registry]] či [[https://www.iana.org/assignments/iana-ipv6-special-registry/iana-ipv6-special-registry.xhtml|iana-ipv6-special-registry]]), důrazně doporučujeme aplikovat pravidla ACL či firewallu tak, aby honeypot nemohl prozkoumat či ohrozit Vaši vnitřní síť.