BW-Pot (Breakable Web applications honeyPot)は、HTTPまたはHTTPSを対象とする高対話型のハニーポットです。 狙われやすく侵害されやすいWebアプリケーションを構築することで、攻撃者からのアクセスを観察します。 また、ログをGoogle BigQueryに転送し、ログの蓄積および可視化を行います。
- 頻繁に攻撃のターゲットとなっているWebアプリケーション環境を使用
- 毎日、クリーンな環境に自動リストア
- Google BigQueryへのリアルタイムなログ連携
- 自動的なログローテーション
- 詳細解析用にパケットキャプチャファイルを保存
- 低スペックなサーバで運用可能
アーキテクチャ図は以下の通りです。
細かい仕様は、Specificationを参照してください。
2GBRAM10GBSSD- Internet Connection
Amazon EC2のt2.nanoインスタンスで動作確認しています。
t2.nanoは0.5GBRAMですが、Swap領域を2GB確保することで動作確認しています。
- Docker
- Docker-Compose
- logrotate
- Google Cloud Platform Account
Installを参照してください。
OSセットアップや必要ソフトウェアをインストールする手順は、Preparing for installationを参照してください。
BigQueryに転送したログを使用して、BigQueryのWebUIでSQL実行による分析や、 データポータルでBigQueryの各テーブルをデータソースに指定してダッシュボードを作成することが可能です。
データポータルで作成したダッシュボードの例です。
また、/data/tshark/dump/に格納しているネットワークキャプチャファイルを端末にダウンロードしてWireShark等で確認することも可能です。
BW-Potが使用しているソフトウェアのライセンスは以下の通りです。
- Apache License v2: Docker, Fluentd, Apache Tomcat
- GPL v2: Wireshark(tshark), WordPress, phpMyAdmin
- BSD License: WOWHoneypot
- WebアプリケーションにDrupalを追加
- ログ保全のためAmazon S3にログファイルを保存するサービスを追加
- iptablesにOutBoundの通信を塞ぐルールを追加
- IDS(SuricataまたはSnort)を追加
- dockerのimageを定期アップデート(docker system prune -aでimage削除して実現?)