この記事はVALU Advent Calendar 4日目のエントリーです。
3日目のクロスプラットフォームなアニメーションライブラリLottieに続き、本日はセキュリティのエントリです。
ハニーポットとは
ハニーポットは、コンピュータセキュリティ用語としては、不正アクセスを受けることに価値を持つシステムのことを指す。何らかの有益そうな情報や資源がありそうな場所を用意して、それにつられた者を観察したり、肝心な部分で被害を出さないために目をそらせたり、コンピュータ・フォレンジックスを行うための証拠を集めたりする、一種のおとり手法に使われる。手法そのものをハニーポットと呼ぶこともある。
使用したハード・ソフト
- Raspberry Pi 3 Model B
- OS: Raspbian Stretch Lite (November 2018)
- ハニーポット: DShield Raspberry Pi Sensor
環境構築
- EtcherでSDカードにOSイメージを焼く。
- 4つのRaspberry(CPUコアの数)を眺めながらラズパイを起動。
- パスワードが初期値のままではDShieldのインストールに失敗するので変更する。
$ sudo raspi-config
「1 Change User Password」で任意のパスワードを設定。
4. 以下を実行。
$ sudo apt-get update
$ sudo apt-get install git
$ git clone https://github.com/DShield-ISC/dshield.git
$ cd dshield/bin
$ sudo ./install.sh
インストール途中で、Raspberry Piをハニーポットにする同意確認画面が表示される。実験的なパッケージを含まない「mature」を選択。
メールアドレスとAPI Keyを要求されるので、DShieldの公式サイトにアクセスしてアカウントを取得しておく。認証後、管理者画面のポート番号などをインストーラーの案内に従って設定。
「Please reboot your Pi now」が表示されたらラズパイを再起動。
$ sudo reboot now
SSHを利用している場合は、ポート番号が12222に変わるので注意してください。
5. 攻撃を待つ。DShieldに集めた情報は、公式サイトでログインすると確認できます。
丸一日放置した結果
!!!
なんだこのDoS攻撃は。
ログインを試みている攻撃のログを抜き出していて、やはり、初期値の組み合わせが多いです。家のLANで運用したので、色々と不安でした。SIMリーダーを買いハニーポット専用回線を作って、[user/pass] failedのセットを/data/userdb.txtに登録してやるともっといろんな攻撃を(安心して?)受けれるのでしょう。
DShieldはCowrieを使っているようですね。
明日は、_pochiさんのKotlinの記事です!