/bwpot

高対話型ハニーポット

Primary LanguageShellGNU General Public License v3.0GPL-3.0

BW-Pot

BW-Pot (Breakable Web applications honeyPot)は、HTTPまたはHTTPSを対象とする高対話型のハニーポットです。 狙われやすく侵害されやすいWebアプリケーションを構築することで、攻撃者からのアクセスを観察します。 また、ログをGoogle BigQueryに転送し、ログの蓄積および可視化を行います。

Features

  • 頻繁に攻撃のターゲットとなっているWebアプリケーション環境を使用
  • 毎日、クリーンな環境に自動リストア
  • Google BigQueryへのリアルタイムなログ連携
  • 自動的なログローテーション
  • 詳細解析用にパケットキャプチャファイルを保存
  • 低スペックなサーバで運用可能

Architecture/Specification

アーキテクチャ図は以下の通りです。 architecture

細かい仕様は、Specificationを参照してください。

Installation

Hardware Requirements

  • 2GBRAM
  • 10GBSSD
  • Internet Connection

Amazon EC2のt2.nanoインスタンスで動作確認しています。
t2.nano0.5GBRAMですが、Swap領域を2GB確保することで動作確認しています。

Software Requirements

  • Docker
  • Docker-Compose
  • logrotate

Service Account Requirements

  • Google Cloud Platform Account

Install

Installを参照してください。

OSセットアップや必要ソフトウェアをインストールする手順は、Preparing for installationを参照してください。

Usage

BigQueryに転送したログを使用して、BigQueryのWebUIでSQL実行による分析や、 データポータルでBigQueryの各テーブルをデータソースに指定してダッシュボードを作成することが可能です。

データポータルで作成したダッシュボードの例です。 dashboard

また、/data/tshark/dump/に格納しているネットワークキャプチャファイルを端末にダウンロードしてWireShark等で確認することも可能です。

Licenses

BW-Potが使用しているソフトウェアのライセンスは以下の通りです。

Author

graneed

ToDo

  • WebアプリケーションにDrupalを追加
  • ログ保全のためAmazon S3にログファイルを保存するサービスを追加
  • iptablesにOutBoundの通信を塞ぐルールを追加
  • IDS(SuricataまたはSnort)を追加
  • dockerのimageを定期アップデート(docker system prune -aでimage削除して実現?)