配置云蜜罐

您可以使用云蜜罐功能,通过在您的阿里云VPC、服务器上部署云蜜罐,检测您服务器在云内、云外受到的真实攻击,甚至溯源反制攻击者,提升安全感知和威慑能力。本文介绍如何配置云蜜罐。

前提条件

  • 已开通云蜜罐功能。具体操作,请参见开通云蜜罐服务

  • 如果您要在线下IDC中的无公网服务器上部署云蜜罐,需要在线下IDC上搭建云蜜罐代理服务器,然后在云安全中心创建探针时配置代理IP,实现云蜜罐代理接入。

    如何在线下IDC搭建云代理服务器?

    1. 准备至少一台用于蜜罐代理的服务器,确认服务器上已安装gcc和zlib-devel。

    2. 下载使用支持反向代理的Nginx版本

      云蜜罐的连接为HTTPS,需要四层代理,下载后编译安装的时候需要加上--with-stream参数。

      tar -xvf nginx-1.9.0.tar.gz
      cd nginx-1.9.0
      ./configure --without-http_rewrite_module --with-stream
      make
      make install
    3. 在Nginx应用/usr/local/nginx/conf/目录下,修改nginx.conf配置文件。

      #user nobody;
      worker_processes auto;
      error_log logs/error.log;
      
      #error_log logs/error.log notice;
      error_log logs/error.log info;
      pid logs/nginx.pid;
      
      events {
          use epoll;
          worker_connections 60000;
      }
      
      stream {
              server {
                  listen 1337;
                  proxy_timeout 10m;
                  proxy_connect_timeout 60s;
                  proxy_pass proxy1337;
              }
              upstream proxy1337 {
                 #蜜罐管理节点IP可在云蜜罐>配置管理的管理节点页签下的目标管理节点的管理节点IP列查看
                 server #蜜罐管理节点IP#:1337; 
              }
      
              server {
                  listen 1338;
                  proxy_timeout 10m;
                  proxy_connect_timeout 60s;
                  proxy_pass proxy1338;
              }
              upstream proxy1338 {‘’
                #蜜罐管理节点IP可在云蜜罐>配置管理的管理节点页签下的目标管理节点的管理节点IP列查看
                 server #蜜罐管理节点IP#:1338; 
              }
      }
      				
    4. 配置文件修改完成后,执行以下命令,启动Nginx。

      /usr/local/nginx/sbin/nginx

配置流程概述

image
重要

在配置云蜜罐的过程中,请确保新增主机探针所在的主机服务器能够成功访问其绑定的相应管理节点。

步骤一:新增管理节点

管理节点是提供蜜罐服务的系统,探针转发的流量最终会进入管理节点中配置的各种蜜罐服务。管理节点是整个系统的核心与基础。

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏选择风险治理 > 云蜜罐 > 配置管理

  3. 配置管理页面的管理节点页签,单击新建节点,完成新建管理节点的配置,然后单击确定

    配置项

    说明

    管理节点名称

    设置管理节点的名称。

    分配探针数

    设置该管理节点的探针数。分配探针数不能小于20,不能超过100。设置的探针数超过100时,系统会自动设置为100。建议每个C段安装2~3个主机探针,每个VPC安装1个VPC黑洞探针。

    说明

    探针的作用是流量导流,云蜜罐支持主机探针和VPC黑洞探针。

    • 主机探针:原理为在主机上安装Client,将配置的本机端口流量转发至后端蜜罐集群。

    • VPC黑洞探针:当VPC内IP_A 访问一个不存在的内网IP_B 时,网络设备将流量引流至VPC黑洞探针,VPC黑洞探针根据所配置的蜜罐映射规则,建立IP_A 与蜜罐IP_C 的正常连接,此操作对IP_A 透明。

    主机探针通过安装在主机上,进行端口流量导流至蜜罐服务。VPC黑洞探针安装在VPC上,将目标IP不存在的且为内网IP的流量,导入至蜜罐服务。

    放行网段

    设置该管理节点与主机探针的放行网段,即允许探针的哪些出口IP访问该管理节点。默认配置为0.0.0.0/0。最多支持设置100个放行网段。服务过程中探针需要和管理节点进行通信,请确保探针的出口IP在放行网段内。

    允许蜜罐访问外网

    设置该管理节点是否允许蜜罐访问外网。

    重要

    开启此功能,可能存在安全风险,攻击者可以成功入侵蜜罐后进行强攻击;不开启的情况下,仅支持攻击检测,适用于内网场景。

    您可以在管理节点列表中查看您新建的管理节点。新建的管理节点的管理节点状态准备中,这个状态会持续5分钟左右,请您耐心等待,直到管理节点状态正常

(可选)步骤二:蜜罐模板

蜜罐模板功能可针对不同蜜罐类型配置不同的自定义属性,构造出符合业务场景的蜜罐,以模拟出更真实的应用。其中可以自定义的蜜罐类型包括但不限于网站title、OA背景图、Web页面数据等。您可根据您的业务需要定制蜜罐模板。

  1. 配置管理页面的蜜罐模板页签的左侧选择蜜罐类型,然后单击新建模板

  2. 创建模板面板上,配置蜜罐模板相关信息,然后单击确定

    配置项

    说明

    模板名称

    设置蜜罐模板的名称。

    管理节点

    选择部署云蜜罐的管理节点。即您步骤一中新建的管理节点。

    说明

    蜜罐模板的其他配置项的设置,因选择的蜜罐类型不同配置也稍有差别。如果您需要设置这部分配置项,具体设置方法,您可以通过智能在线联系技术支持人员

步骤三:新增蜜罐

蜜罐是蜜罐服务的基础单位,系统默认有许多内置蜜罐镜像,通过蜜罐镜像创建对应的蜜罐实例,从而提供蜜罐服务。

  1. 配置管理页面的蜜罐管理页签,单击新建蜜罐

  2. 新建蜜罐面板完成蜜罐配置,然后单击确定

    配置项

    说明

    名称

    设置蜜罐的名称。

    管理节点

    选择部署云蜜罐的管理节点。即您在步骤一中新建的管理节点。

    蜜罐类型

    选择蜜罐的类型。支持选择的蜜罐的大类有以下几种:

    • Web

    • 高级

    • 特殊缺陷

    • 系统服务

    • 数据库

    自定义蜜罐配置

    选中复选框后,可配置蜜罐的自定义属性。支持针对不同蜜罐类型配置不同的自定义属性,构造出符合业务场景的蜜罐,以模拟出更真实的应用。其中可以自定义的蜜罐类型包括但不限于网站标题、OA背景图、Web页面数据等。

    您也可以通过提前配置蜜罐模板,然后通过导入模板配置的方式,添加自定义蜜罐配置。

    关于自定义蜜罐蜜罐模板的配置操作,您可以通过智能在线联系技术支持人员

步骤四:新增探针

探针是导流的工具,功能是将主机、网络中的异常流量导流至蜜罐服务,有VPC探针和主机探针两种类型。

  1. 配置管理页面的探针管理页签下,选择新增探针 > 主机探针或者VPC黑洞探针

  2. 在探针配置面板,完成探针配置,然后单击确定

    • 新增主机探针的配置项说明:

      配置项

      说明

      探针名称

      设置探针的名称。

      管理节点

      选择部署探针的服务器对应的管理节点。即您步骤一中新建的管理节点。

      代理IP

      如果您是通过代理服务器在线下IDC服务器中部署云蜜罐,请填写代理服务器的IP;如果不是则不用填写。

      部署主机

      选择部署探针的服务器。

      配置服务

      设置访问流量转发的蜜罐的名称和监听端口。

      说明

      监听端口是主机(例如ECS)上端口,探针会把访问该端口的流量引流到蜜罐中,所以需要确保主机上没有其他服务占用该端口,该端口仅提供给探针使用。

    • 新增VPC黑洞探针的配置项说明:

      重要

      仅支持在阿里云VPC下创建蜜罐实例,不支持在其他网络下创建。每个VPC下仅支持创建一个蜜罐实例。目前仅支持在部分地域部署VPC黑洞探针。详细信息,请参见使用限制

      配置项

      说明

      探针名称

      设置探针的名称。

      管理节点

      选择探针部署的服务器对应的管理节点。即您在步骤一中新建的管理节点。

      部署VPC

      选择部署探针的VPC。

      配置服务

      设置访问流量转发的蜜罐的名称和监听端口。

后续步骤

云蜜罐配置后,云蜜罐通过探针监测转移攻击者目标,让攻击者在蜜罐中攻击真实伪装应用,并会记录这些攻击的信息形成告警事件。您可以通过查看和处理告警事件,提升您的服务器和VPC的安全防御。具体操作,请参见查看和处理告警事件