【谛听】D |
您所在的位置:网站首页 › 蜜罐设备的作用 › 【谛听】D |
安装说明
安装前请先根据文档中的部署环境要求,依次检查相关配置,确认无误后 再进行软件的安装。
首次安装需要分别进入管理节点、探针节点的后台进行安装操作。
产品升级需要进入管理节点的后台进行安装操作,探针可以远程升级。
本文仅以常见安装步骤作举例,如有完整部署文档需求可咨询长亭技术支持人员获取。
名词定义
【节点】指一台服务器,可以是物理服务器、云服务器
【安装目录】指谛听管理端,通常为 /data/d-sensor
【数据盘】指安装目录所在的硬盘
【管理节点】指谛听的管理服务、日志服务、蜜罐服务等所在节点
【探针节点】指用于部署谛听Agent程序所在节点,1个管理节点支持部署接入多个探针节点
【蜜罐服务】指谛听管理节点上配置启动运行的伪装欺骗服务,主要通过一个个docker容器拉起,比如ssh蜜罐服务,weblogic蜜罐服务,1个蜜罐服务支持分别绑定到不同的探针节点上;1个探针节点支持绑定多个不同的蜜罐服务。
安装前准备
1、常用工具列表
Linux 下常用工具列表,可以参考进行安装: tcpdump:网络抓包工具 curl:HTTP 请求工具 vim:编辑文件工具 strace:跟踪系统调用工具 tmux:终端窗口工具 net-tools:其他网络工具 sysstat:性能监控 Ubuntu 下安装,执行: apt install -y tcpdump curl vim strace net-tools sysstatCentOS 下安装,执行: yum install -y tcpdump curl vim strace net-tools sysstat 2、资源准备 设备性能要求管理节点 CPU:>= 8 核 内存:>= 16 GB 数据盘容量:>= 500 GB,云服务器需要检查所选数据盘 IOPS 值大于 1000 探针节点 CPU:>= 1 核 内存:>= 2 GB 数据盘容量:>= 20 GB 部署环境要求 要求项 管理节点 探针节点 内核 Linux 3.10.0-514 及以上 无 操作系统 Ubuntu 16.04 及以上;CentOS 7.4 及以上;Redhat 7.4 及以上;SUSE 12 SP2 及以上;Oracle Linux 7.4 及以上 Ubuntu 16.04 及以上;CentOS 6.5 及以上;Redhat 6.4 及以上;SUSE 11 sp4 及以上;Oracle Linux 7.4 及以上;Windows server 2003 及以上 系统配置 系统时间为 UTC 时间; SELinux、Firewalld 关闭; umask 为 022 SELinux、Firewalld 关闭 文件系统 谛听安装目录所在磁盘分区的文件系统类型为 ext4 无 磁盘分区 蜜罐镜像目录 /var/lib/docker/ 下至少有 80G 空间; 无 网络 安装时尽量在线 能访问管理节点的:443 或 1338 端口(用于安装),1337 端口(用于运行) 3、管理节点安装 管理节点环境配置 以下操作默认在所在节点root 权限下操作 检查内核版本与时间 uname -r uname -a要求内核版本大于 3.10,构建时间晚于或等于 2017 年。 设置umask umask 022 检查谛听安装分区的文件系统类型为 ext4 df -Th若没有 ext4 分区,需要新建分区并使用 mkfs.ext4 进行格式化,具体可参考: fdisk 分区格式化为ext4格式分区 检查系统时间 date -u需确保系统的 UTC 时间为正确的 UTC 时间。如果发现时区不对,可通过timedatectl命令快速修改 timedatectl set-timezone Asia/Shanghai 关闭SElinux及Firewalld(Ubuntu 系统可跳过) sed -i 's/enforcing/disabled/g' /etc/selinux/config setenforce 0 getenforcegetenforce 结果不是 Enforcing 则表明 SELinux 已经成功关闭。 cat /etc/selinux/config 查看为 disabled 则表明开机默认关闭 SELinux。 systemctl stop firewalld systemctl disable firewalld systemctl status firewalld若看到 Active: inactive (dead) 字样,表明 Firewalld 关闭成功 确保当前系统没有安装docker docker info提示没有安装docker即可,如有安装,需确保docker 是18.06.2 及以上的稳定版,否则需要卸载原有docker再进行安装。 卸载旧版本docker参考: ubuntu系统卸载docker sudo apt-get remove docker docker-engine docker.io centos系统卸载docker sudo yum remove docker docker-common docker-selinux docker-engine 管理节点软件安装 创建部署目录并切换到部署路径 mkdir –p /data/d-sensor cd /data/d-sensor 上传安装包到管理节点(虚拟机或硬件设备)的 /data/d-sensor 路径下 将软件压缩包解压到部署目录(注意替换为实际的文件名,解压密码找长亭技术获取) unzip DS-S40-software-installer-xxx.zip unzip -o d-sensor-4-software-installer_xxx.zip –d /data/d-sensor unzip -o honeypots-2-software-installer_xx.zip –d /data/d-sensor 安装软件系统和蜜罐 a) 注意要先执行 install.sh,若系统没有 Docker、Docker- compose,则会在此时自动安装 b) 执行 installer 时,如果该型号设备需要安装虚拟机蜜罐,安装 过程中选择 “软件+虚拟机蜜罐拓展(sw+vm)”。否则选择“软 件(sw)”,若出现“will you enable vm manager(y/n)”选择 n即可 ./install.sh ./installer 确认服务正常启动 docker ps -a确保所有容器状态都为 up,如下图所示:
访问管理地址,上传 license 并登陆。若能正常访问管理界面,而且 蜜罐管理-模版管理 中能添加若干蜜罐的模版,其中部分蜜罐还有预置的模版(例如 自定义 Web(Python) 蜜罐),则说明安装成功:
安装蜜罐拓展包(可选) a) 虚拟机蜜罐: i. 确保安装时已开启虚拟机蜜罐模块:执行“docker ps”查 看有没有“vm_domain”容器。若没有,则进入 docker- compose 所在文件夹,执行 docker-compose down,然后重 新执行安装脚本 ./installer,并选择 “软件+虚拟机蜜罐 拓展(sw+vm)” ii. 将拓展包文件解压到 /var/lib/libvirt/images iii. 执行 “docker restart vm_domain”,再执行 “docker restart dsensor_redis”即可 b) .zip 后缀名蜜罐:解压到安装目录,然后在解压文件夹内运行 ./install.sh 4、探针节点安装 以下操作默认在所在节点root 权限下操作 探针节点环境配置关闭SElinux及Firewalld(Ubuntu 系统可跳过) sed -i 's/enforcing/disabled/g' /etc/selinux/config setenforce 0 getenforce systemctl stop firewalld systemctl disable firewalld systemctl status firewalld 探针节点在线安装 登录管理界面查看探针在线安装指导![]() 2.在管理节点界面右上角个人中心生成个人token 3.推荐选择wget方式下载agent程序到探针节点执行安装 linux系统: wget --no-check-certificate https://{管理节点地址}/ag/install_agent_amd64 -O /tmp/install_agent && chmod +x /tmp/install_agent && sudo /tmp/install_agent --host {管理节点地址} --token {您的 Token}windosw系统: [System.Net.ServicePointManager]::ServerCertificateValidationCallback = { $True }; ` (New-Object System.Net.WebClient).DownloadFile(` "https://{管理节点的地址}/ag/install_agent.exe", ` "$env:TEMP/install_agent.exe"); ` Start-Process -Wait -NoNewWindow -FilePath "$env:TEMP/install_agent.exe" ` -ArgumentList "--host {管理节点地址} --token {您的 Token}"您的 Token这里是指在个人中心生成的api token值 之后可登录管理节点界面查看探针状态和在线情况,进行后续的蜜罐服务配置和绑定。 5、蜜罐服务配置 5.1 创建蜜罐模板a)基于默认模板创建
谛听系统自带有默认模板,可基于默认模板创建系统服务蜜罐,或特定缺陷蜜罐,特定框架类漏洞蜜罐(web):
b)自定义web创建模板 配置模拟真实业务等蜜罐,支持静态页面模拟,如有复杂交互,则无法支持。需提前跟客户获取web页面数据(最好可以让客户从服务器直接拷贝),基于zip压缩包正确填写首页地址。web页面如无法从服务器拷贝,可自行通过第三方工具爬取页面进行配置。 如下面以一个仿真OA系统为例:
蜜罐管理-蜜网管理页面,可进行蜜网的新增和重命名。其中“是否允许访问外网”仅可在创建蜜网时进行选择。勾选“运行访问外网”后,蜜罐可以使用管理节点设备的网络资源。开启存在安全风险,如非必要不建议开启。
![]() a)探针状态编辑和检查 探针管理页面,点击选定的探针进入该探针的编辑页面,开启ping扫描检测和ARP欺骗检测选项:
b)探针绑定蜜罐服务 在探针管理页面,点击选定的探针进入该探针的编辑页面,可看到探针基础信息,包含探针名称,IP,检测设置和服务状态等信息,可直接点选绑定服务选项,进行绑定蜜罐服务配置。
c)系统类蜜罐服务验证 探针编辑页面确认服务绑定运行正常后,对于系统服务页面,可基于对应绑定到服务进行相应访问连接操作,触发谛听的日志告警记录,并正常查看到端口探测日志,蜜罐入侵日志。 例如,ssh蜜罐,则进行ssh登录对应探针的IP:PORT,触发告警;对于FTP蜜罐,则进行ftp访问触发告警,RDP蜜罐则进行远程桌面访问登录尝试,以此类推。也可以使用统一telnet方式,或nmap之类扫描器对探针端口进行扫描,验证访问,并查看触发对告警日志,确认服务正常。
d)溯源类蜜罐服务验证 对于web类伪装溯源蜜罐(比如自定义web类蜜罐),则直接浏览器访问对于探针的端口,进行页面访问,登录尝试,并确认谛听可正常监测到访问记录,且页面展示内容达到预期(比如与真实业务相似),则表示蜜罐服务配置完成(互联网蜜罐可看需要进行社交溯源验证)。
|
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |