文档

配置云蜜罐

更新时间:

您可以使用云蜜罐功能,通过在您的阿里云VPC、服务器上部署云蜜罐,检测您服务器在云内、云外受到的真实攻击,甚至溯源反制攻击者,提升安全感知和威慑能力。本文介绍如何配置云蜜罐。

前提条件

  • 已开通云蜜罐功能。具体操作,请参见开通云蜜罐服务

  • 如果您要在线下IDC中的无公网服务器上部署云蜜罐,需要在线下IDC上搭建云蜜罐代理服务器,然后在云安全中心创建探针时配置代理IP,实现云蜜罐代理接入。

    如何在线下IDC搭建云代理服务器?

    1. 准备至少一台用于蜜罐代理的服务器,确认服务器上已安装gcc和zlib-devel。

    2. 下载使用支持反向代理的Nginx版本

      云蜜罐的连接为HTTPS,需要四层代理,下载后编译安装的时候需要加上--with-stream参数。

      tar -xvf nginx-1.9.0.tar.gz
      cd nginx-1.9.0
      ./configure --without-http_rewrite_module --with-stream
      make
      make install
    3. 在Nginx应用/usr/local/nginx/conf/目录下,修改nginx.conf配置文件。

      #user nobody;
      worker_processes auto;
      error_log logs/error.log;
      
      #error_log logs/error.log notice;
      error_log logs/error.log info;
      pid logs/nginx.pid;
      
      events {
          use epoll;
          worker_connections 60000;
      }
      
      stream {
              server {
                  listen 1337;
                  proxy_timeout 10m;
                  proxy_connect_timeout 60s;
                  proxy_pass proxy1337;
              }
              upstream proxy1337 {
                 #蜜罐管理节点IP可在云蜜罐>配置管理的管理节点页签下的目标管理节点的管理节点IP列查看
                 server #蜜罐管理节点IP#:1337; 
              }
      
              server {
                  listen 1338;
                  proxy_timeout 10m;
                  proxy_connect_timeout 60s;
                  proxy_pass proxy1338;
              }
              upstream proxy1338 {‘’
                #蜜罐管理节点IP可在云蜜罐>配置管理的管理节点页签下的目标管理节点的管理节点IP列查看
                 server #蜜罐管理节点IP#:1338; 
              }
      }
      				
    4. 配置文件修改完成后,执行以下命令,启动Nginx。

      /usr/local/nginx/sbin/nginx

配置流程概述

image

步骤一:新增管理节点

管理节点是提供蜜罐服务的系统,探针转发的流量最终会进入管理节点中配置的各种蜜罐服务上。管理节点是整个系统的核心与基础。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏选择风险治理 > 云蜜罐 > 配置管理

  3. 配置管理页面的管理节点页签,单击新建节点,完成新建管理节点的配置,然后单击确定

    配置项

    说明

    管理节点名称

    设置管理节点的名称。

    分配探针数

    设置该管理节点的探针数。分配探针数不能小于20,不能超过100。设置的探针数超过100时,系统会自动设置为100。建议每个C段安装2~3个主机探针,每个VPC安装1个VPC黑洞探针。

    说明

    探针的作用是流量导流,云蜜罐支持 主机探针VPC黑洞探针 主机探针通过安装在主机上,进行端口流量导流至蜜罐服务。VPC黑洞探针安装在VPC上,将目标IP不存在的且为内网IP的流量,导入至蜜罐服务。

    放行网段

    设置该管理节点与主机探针的放行网段,即允许探针的哪些出口IP访问该管理节点。默认配置为0.0.0.0/0。最多支持设置100个放行网段。服务过程中探针需要和管理节点进行通信,请确保探针的出口IP在放行网段内。

    允许蜜罐访问外网

    设置该管理节点是否允许蜜罐访问外网。

    重要

    开启此功能,可能存在安全风险,攻击者可以成功入侵蜜罐后进行强攻击;不开启的情况下,仅支持攻击检测,适用于内网场景。

    您可以在管理节点列表中查看您新建的管理节点。新建的管理节点的管理节点状态准备中,这个状态会持续5分钟左右,请您耐心等待。

(可选)步骤二:蜜罐模板

蜜罐模板功能可针对不同蜜罐类型配置不同的自定义属性,构造出符合业务场景的蜜罐,以模拟出更真实的应用。其中可以自定义的蜜罐类型包括但不限于网站title、OA背景图、Web页面数据等。您可根据您的业务需要定制蜜罐模板。

  1. 配置管理页面的蜜罐模板页签的左侧选择蜜罐类型,然后单击新建模板

  2. 创建模板面板上,配置蜜罐模板相关信息,然后单击确定

    配置项

    说明

    模板名称

    设置蜜罐模板的名称。

    管理节点

    选择部署云蜜罐的管理节点。即您步骤一中新建的管理节点。

    说明

    蜜罐模板的其他配置项的设置,因选择的蜜罐类型不同配置也稍有差别。如果您需要设置这部分配置项,具体设置方法,您可以通过智能在线联系技术支持人员

步骤三:新增蜜罐

蜜罐是蜜罐服务的基础单位,系统默认有许多内置蜜罐镜像,通过蜜罐镜像创建对应的蜜罐实例,从而提供蜜罐服务。

  1. 配置管理页面的蜜罐管理页签,单击新建蜜罐

  2. 新建蜜罐面板完成蜜罐配置,然后单击确定

    配置项

    说明

    名称

    设置蜜罐的名称。

    管理节点

    选择部署云蜜罐的管理节点。即您在步骤一中新建的管理节点。

    蜜罐类型

    选择蜜罐的类型。支持选择的蜜罐的大类有以下几种:

    • Web

    • 高级

    • 特殊缺陷

    • 系统服务

    • 数据库

    自定义蜜罐配置

    选中复选框后,可配置蜜罐的自定义属性。支持针对不同蜜罐类型配置不同的自定义属性,构造出符合业务场景的蜜罐,以模拟出更真实的应用。其中可以自定义的蜜罐类型包括但不限于网站标题、OA背景图、Web页面数据等。

    您也可以通过提前配置蜜罐模板,然后通过导入模板配置的方式,添加自定义蜜罐配置。

    关于自定义蜜罐蜜罐模板的配置操作,您可以通过智能在线联系技术支持人员

步骤四:新增探针

探针是导流的工具,功能是将主机、网络中的异常流量导流至蜜罐服务,有VPC探针和主机探针两种类型。

  1. 配置管理页面的探针管理页签下,选择新增探针 > 主机探针或者VPC黑洞探针

  2. 在探针配置面板,完成探针配置,然后单击确定

    • 新增主机探针的配置项说明:

      配置项

      说明

      探针名称

      设置探针的名称。

      管理节点

      选择部署探针的服务器对应的管理节点。即您步骤一中新建的管理节点。

      代理IP

      如果您是通过代理服务器在线下IDC服务器中部署云蜜罐,请填写代理服务器的IP;如果不是则不用填写。

      部署主机

      选择部署探针的服务器。

      配置服务

      设置访问流量转发的蜜罐的名称和监听端口。

    • 新增VPC黑洞探针的配置项说明:

      重要

      仅支持在阿里云VPC下创建蜜罐实例,不支持在其他网络下创建。每个VPC下仅支持创建一个蜜罐实例。目前仅支持在部分地域部署VPC黑洞探针。详细信息,请参见使用限制

      配置项

      说明

      探针名称

      设置探针的名称。

      管理节点

      选择探针部署的服务器对应的管理节点。即您在步骤一中新建的管理节点。

      部署VPC

      选择部署探针的VPC。

      配置服务

      设置访问流量转发的蜜罐的名称和监听端口。

后续步骤

云蜜罐配置后,云蜜罐通过探针监测转移攻击者目标,让攻击者在蜜罐中攻击真实伪装应用,并会记录这些攻击的信息形成告警事件。您可以通过查看和处理告警事件,提升您的服务器和VPC的安全防御。具体操作,请参见查看和处理告警事件