本APNIC文摘原標題為APNIC Community Honeynet Project: behind the scenes,由APNIC網路安全專員Adli Wahid撰文。
本文作者今年曾於APNIC Academy線上教學平臺擔任「蜜罐誘捕系統介紹」(Learning from Honeypot)網路說明會講師。在說明會中,作者也介紹了APNIC的蜜罐網路社群計畫(Community Honeynet Project,以下簡稱「蜜罐網計畫」),並分享計畫的基本架構和蒐集到的資料。
說明會後,社群對於蜜罐網計畫的問題仍接連不斷。為了解答大家的問題,作者特別撰文,除介紹蜜罐網計畫使用的主要工具,也希望藉此向所有蜜罐網計畫曾受益的各種免費開源專案致意。
蜜罐誘捕系統(honeypot)是網路安全研究的實用工具,主要透過將資源暴露在受控制的環境中,以了解不同的攻擊類型以及模式。
APNIC的蜜罐網計畫已行之有年。「現代蜂蜜網路」(Modern Honey Network,MHN)是計畫一開始成員們就愛用的工具。若要用一句話表達MHN的優點,就是它大幅簡化分散設置蜜罐的過程。MHN提供各種工具和指令檔,使用者可以設置不同種類的蜜罐,還提供簡易的紀錄圖表化呈現功能。自去年起,蜜罐網計畫開始用「社群蜂蜜網路」(Community Honey Network,CHN)。CHN其實是MHN的一個元素,但功能更多、更新,紀錄也更完整。
當然,「設置蜜罐」只是蜜罐誘捕成功的一半。另一半在於如何解析利用蜜罐蒐集到的資料。在APNIC的蜜罐網計畫中,透過CHN和MHN蒐集到的資料,會被放到ELK Stack中,然後透過ELK Stack中不同的開源軟體功能,如利用Logstash改善設定,或利用開源日誌(log)收集工具Filebeats取得特定紀錄,並移到APNIC的Elasticsearch群集資料中。將分析結果視覺化、利用圖表說故事等作業,則是透過Kibana完成。
文中提到的工具大部分都是免費開源軟體。作者在文末再次強調免費開源專案的重要,並鼓勵讀者用自己的方式支持這些專案。
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為APNIC Community Honeynet Project: behind the scenes。
Photo created by freepik
