Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
Help us understand the problem. What is going on with this article?

ハニーポットをRaspberry Piで運用してみる

この記事はVALU Advent Calendar 4日目のエントリーです。
3日目のクロスプラットフォームなアニメーションライブラリLottieに続き、本日はセキュリティのエントリです。

ハニーポットとは


ハニーポットは、コンピュータセキュリティ用語としては、不正アクセスを受けることに価値を持つシステムのことを指す。何らかの有益そうな情報や資源がありそうな場所を用意して、それにつられた者を観察したり、肝心な部分で被害を出さないために目をそらせたり、コンピュータ・フォレンジックスを行うための証拠を集めたりする、一種のおとり手法に使われる。手法そのものをハニーポットと呼ぶこともある。

出典: Wikipediaのハニーポットの記事

使用したハード・ソフト


環境構築


  1. EtcherでSDカードにOSイメージを焼く。
  2. 4つのRaspberry(CPUコアの数)を眺めながらラズパイを起動。
  3. パスワードが初期値のままではDShieldのインストールに失敗するので変更する。
$ sudo raspi-config

Screen Shot 2018-12-04 at 22.40.24.png
「1 Change User Password」で任意のパスワードを設定。
4. 以下を実行。

$ sudo apt-get update
$ sudo apt-get install git
$ git clone https://github.com/DShield-ISC/dshield.git
$ cd dshield/bin
$ sudo ./install.sh

インストール途中で、Raspberry Piをハニーポットにする同意確認画面が表示される。実験的なパッケージを含まない「mature」を選択。

メールアドレスとAPI Keyを要求されるので、DShieldの公式サイトにアクセスしてアカウントを取得しておく。認証後、管理者画面のポート番号などをインストーラーの案内に従って設定。
 「Please reboot your Pi now」が表示されたらラズパイを再起動。

$ sudo reboot now

SSHを利用している場合は、ポート番号が12222に変わるので注意してください。
5. 攻撃を待つ。DShieldに集めた情報は、公式サイトでログインすると確認できます。

丸一日放置した結果


Screen Shot 2018-12-03 at 0.30.48.png
!!!
なんだこのDoS攻撃は。
ログインを試みている攻撃のログを抜き出していて、やはり、初期値の組み合わせが多いです。家のLANで運用したので、色々と不安でした。SIMリーダーを買いハニーポット専用回線を作って、[user/pass] failedのセットを/data/userdb.txtに登録してやるともっといろんな攻撃を(安心して?)受けれるのでしょう。
DShieldはCowrieを使っているようですね。
明日は、_pochiさんのKotlinの記事です!

参考にした記事

https://tech.nikkeibp.co.jp/it/atcl/column/17/041900152/101200026/

apteryx
mediaxis
株式会社アクシスは、2008年に創業し、医療と教育に軸をもった運営をしている会社です。
https://mediaxis.jp/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away