開源蜜罐Hfish介紹

開源蜜罐Hfish是一款社區(qū)型免費蜜罐，側(cè)重企業(yè)安全場景，從內(nèi)網(wǎng)失陷檢測、外網(wǎng)威脅感知、威脅情報生產(chǎn)三個場景出發(fā)，為用戶提供可獨立操作且實用的功能，通過安全、敏捷、可靠的中低交互蜜罐增加用戶在失陷感知和威脅情報領(lǐng)域的能力。

HFish具有超過40種蜜罐環(huán)境、提供免費的云蜜網(wǎng)、可高度自定義的蜜餌能力、一鍵部署、跨平臺多架構(gòu)、國產(chǎn)操作系統(tǒng)和CPU支持、極低的性能要求、郵件/syslog/webhook/企業(yè)微信/釘釘/飛書告警等多項特性，幫助用戶降低運維成本，提升運營效率。

(圖片可點擊放大查看)

為什么選擇HFish

• 1、免費、實用的社區(qū)產(chǎn)品

蜜罐通常被定義為具有輕量級檢測能力、低誤報率的檢測產(chǎn)品，同時它也是企業(yè)生產(chǎn)本地威脅情報的優(yōu)質(zhì)來源之一。HFish可以幫助中小型企業(yè)用戶在日常安全運營中進行避免告警洪水、低成本的增加威脅感知和情報生產(chǎn)能力。目前，社區(qū)的力量正在不斷幫助HFish完善自身，共同探索欺騙防御的最佳實踐。

• 2、安全、敏捷的威脅感知節(jié)點

HFish被廣泛應(yīng)用于感知辦公內(nèi)網(wǎng)、生產(chǎn)環(huán)境、云內(nèi)網(wǎng)及其他環(huán)境失陷主機橫向移動、員工賬號外泄、掃描和探測行為、私有情報生產(chǎn)甚至內(nèi)部演練和安全意識培訓，HFish的多種告警輸出形式與態(tài)感、NDR、XDR或日志平臺結(jié)合，極大拓展檢測視野。

下面介紹開源蜜罐Hfish的簡單部署并接入到GrayLog

一、安裝Hfish

mkdir/opt/hfish
tar-zxvfhfish-3.1.0-linux-amd64.tgz-C/opt/hfish/
cd/opt/hfish/
ll
./install.sh

firewall-cmd--add-rich-rule='rulefamily="ipv4"sourceaddress="192.168.31.100/32"portport="4433"protocol="tcp"accept'--permanent
firewall-cmd--add-port=4434/tcp--permanent
firewall-cmd--reload

(圖片可點擊放大查看)

(圖片可點擊放大查看)

修改自身的sshd端口，并只允許管理機訪問

sed-i"s/#Port22/Port60122/g"/etc/ssh/sshd_config
cat/etc/ssh/sshd_config|grepPort
echo"sshd:192.168.31.100">>/etc/hosts.allow
cat>>/etc/hosts.deny<echo`date`loginattemptfrom%cto%s,thehostis%h.PIDis%p>>/var/log/tcpwrapper.log
EOF
firewall-cmd--permanent--zone=public--add-port=60122/tcp
firewall-cmd--reload

(圖片可點擊放大查看)

二、蜜罐服務(wù)配置

登錄Web

(圖片可點擊放大查看)

(圖片可點擊放大查看)

(圖片可點擊放大查看)

(圖片可點擊放大查看)

(圖片可點擊放大查看)

(圖片可點擊放大查看)

內(nèi)置了非常多的蜜罐類型自行定義

(圖片可點擊放大查看)

(圖片可點擊放大查看)

并在防火墻上放通相應(yīng)端口

firewall-cmd--add-port=21/tcp--permanent
firewall-cmd--add-port=22/tcp--permanent
firewall-cmd--add-port=23/tcp--permanent
firewall-cmd--add-port=1433/tcp--permanent
firewall-cmd--add-port=3389/tcp--permanent
firewall-cmd--add-port=445/tcp--permanent
firewall-cmd--add-port=9092/tcp--permanent
firewall-cmd--add-port=9093/tcp--permanent
firewall-cmd--add-port=7879/tcp--permanent
firewall-cmd--add-port=6379/tcp--permanent
firewall-cmd--add-port=135/tcp--permanent
firewall-cmd--add-port=7/tcp--permanent
firewall-cmd--add-port=9293/tcp--permanent
firewall-cmd--add-port=9295/tcp--permanent
firewall-cmd--add-port=80/tcp--permanent
firewall-cmd--add-port=9200/tcp--permanent
firewall-cmd--add-port=3306/tcp--permanent
firewall-cmd--reload

(圖片可點擊放大查看)

(圖片可點擊放大查看)

三、告警及syslog配置

釘釘告警機器人對接和syslog通知配置

添加釘釘機器人的token

syslog則配置Graylog的syslog接收端口

例如192.168.31.230 1514 udp端口

(圖片可點擊放大查看)

(圖片可點擊放大查看)

并添加告警策略

(圖片可點擊放大查看)

(圖片可點擊放大查看)

四、攻擊測試及效果展示

例如hydra暴力破解mysql

(圖片可點擊放大查看)

(圖片可點擊放大查看)

大屏效果

釘釘告警效果

(圖片可點擊放大查看)

五、GrayLog字段提取器配置

配置步驟過程簡單截圖

(圖片可點擊放大查看)

配置提取器

(圖片可點擊放大查看)

(圖片可點擊放大查看)

json格式日志添加提取器

(圖片可點擊放大查看)

訪問火絨蜜罐

(圖片可點擊放大查看)

日志字段效果展示

(圖片可點擊放大查看)