Zapojení do Huga
Registrace Warden klienta
Jelikož je projekt Hugo poměrně pevně svázán s odesíláním událostí do systému Warden, je potřeba požádat o registraci klienta do tohoto systému. K tomuto existuje samostatná webová stránka, na které najdete veškeré podrobnosti.
Naše obrazy s virtuálními stroji obsahují funkcionalitu automatické registrace klienta do systému Warden. Po prvním startu virtuálního stroje stačí zodpovědět několik dotazů, načež nám bude odeslán požadavek k registraci honeypotu do systému. V případě, že honeypot bude schválen, se virtuální stroj během hodiny nastaví, stáhne certifikát pro předávání údajů, a začne zachytávat útoky. V případě nejasností Vás budeme kontaktovat zpět prostřednictvím poskytnutých údajů.
Za ideální model považujeme, že každý virtuální stroj bude registrován jako samostatný Warden klient.
Jak začít sbírat data
Vaše cesta začne buď stažením balíčku s předpřipraveným virtuálním strojem – v takovém případě budete potřebovat hypervizor, kde daný stroj importujete.
Minimální požadavky na přidělené zdroje:
- 1 vCPU
- 1 GB RAM (512 MB je v některých případech příliš málo)
- 4 GB diskového prostoru
- 1 IPv4 adresa + doporučujeme 1 IPv6 adresu
Druhou možností je nainstalovat si honeypot svépomocí a použít námi předpřipravené pluginy pro logování, kterými vytvoříte eventy ve formátu IDEA, které pak budete odesílat na servery Wardenu, třeba prostřednictvím Warden Fileru. Vše je ke stažení opět v sekci Ke stažení.
Otevřené porty
Honeypot lze provozovat buď na veřejné IP adrese, nebo i na vnitřní síti, kde na firewallu či routeru nastavíte přesměrování portu (Destination NAT) na Vaši privátní IP.
V případě použití privátní adresy je třeba správně nastavit veřejnou IPv4 pro účely zaznamenávání událostí.
Níže nabízíme přehled portů, které otevírají naše virtuální stroje a je vhodné je povolit na vašem firewallu.
Příchozí spojení:
| Honeypot | Port | Směr | Popis |
|---|---|---|---|
| Cowrie | 22 (TCP) | příchozí | SSH |
| Dionaea | 22 (TCP) | příchozí | SSH (pro správu virtuálního stroje) |
| Dionaea | 21 (TCP) | příchozí | FTP, řídicí kanál |
| Dionaea | náhodný (TCP) | příchozí | FTP, datový kanál pro pasivní spojení |
| Dionaea | 1433 (TCP) | příchozí | MS SQL |
| Dionaea | 3306 (TCP) | příchozí | MySQL |
| Dionaea | 69 (UDP) | příchozí | TFTP |
Odchozí spojení
Uvedena jsou spojení nezbytná pro provoz honeypotu. Většina uvedených strojů má pevnou IP adresu.
- sulu.cesnet.cz, port 443 (TCP) – automatická registrace a monitoring honeypotu
- ftp.zcu.cz, porty 80 a 443 (TCP) – aktualizace systému Debian
- Fastly CDN, porty 80 a 443 (TCP) – bezpečnostní aktualizace systému Debian (debian-security)
- warden-hub.cesnet.cz, port 443 (TCP) – odesílání událostí
- tik.cesnet.cz, tak.cesnet.cz, port 123 (TCP/UDP) – synchronizace času prostřednictvím protokolu NTP
Následující spojení můžete dále vidět v procesu registrace a aktivace:
- resolver1.opendns.com, port 53 (UDP/TCP) – detekce veřejné IPv4 a IPv6 adresy přes DNS dotaz
- výchozí brána, port 1456 (TCP) – detekce démona pro resolving veřejné IP adresy z conntracku (
odkaz na repozitář) - gitlab.cesnet.cz, port 443 (TCP) – stažení aktuální verze konektorů pro odesílání událostí do Wardenu
Honeypot Cowrie dále umožňuje odchozí spojení přes protokoly HTTP/HTTPS; doporučujeme to povolit. Přestože současná implementace neumožní vytvoření spojení s adresou z lokálních rozsahů (tj. jiné než globální adresy z iana-ipv4-special-registry či iana-ipv6-special-registry), důrazně doporučujeme aplikovat pravidla ACL či firewallu tak, aby honeypot nemohl prozkoumat či ohrozit Vaši vnitřní síť.