サーバー構築経験がほぼゼロな自分でも Micorosoft Azureにハニーポットを建てられた話 ~その3 T-Pot編~


前回記事はこちら

T-Pot インストール

いよいよ T-Pot のインストールです。その前にとりあえず update と upgrade をしておきます。また、Debian 9 Strech には git が入っていないので git を入れます。

sudo apt upgrade -y
sudo apt update -y
sudo apt install git -y

git から T-Pot をダウンロード & インストールします。

git clone https://github.com/dtag-dev-sec/tpotce
cd tpotce/iso/installer/
sudo ./install.sh --type=user

少し画面が進むと、以下の画面になります。これは「22番ポートが開いてて、ハニーポットのサービスとかぶるかもしれないけどいいですか?」と聞いています。気にせず Y を押します。

T-Pot のインストールタイプを選択します。選択するタイプによってインストールするアプリケーションが異なります。ここでは、Standard を選択します。

ハニーポットの画面を確認する際のユーザーを作成します。インスタンスを作ったときのユーザーとは別のユーザー名にしてください。

パスワードは2回入力します。

インストールが始まります。ここは少し時間がかかるので、お茶でも飲んでひと休みしましょう。

インストールが正常に完了すると、SSH 接続が強制終了します。T-Pot のインストールによってSSH のポートは 22 番から 64295 番に変更されています。TeraTerm で接続する際は、64295 番に変更して接続してください。

ポート開放

ハニーポットを運用するからには、たくさん攻撃が来てもらいたいものです。ですので、現在ポートは 22 番しか開けていませんが T-Pot 管理画面以外のポート(0-64000)をすべて開放します。

64001-65535 は、T-Pot の攻撃状況を確認する画面(Kibana:ポート 64297)やシステムの状態を確認する画面(Cokpit:ポート 64294)など、さまざまなサービスが稼働しているポートです。このレンジは、自分が契約しているISPのIPレンジにするなど、信頼できる接続元からのみ許可するのが良いでしょう。

T-Pot 起動

T-Pot のアドレスは、以下になります。こちらをブラウザのアドレスバーに貼り付けてください。

https://パブリックIPアドレス:64297

接続すると、以下の警告が表示されますが、気にせず「詳細設定」「xxx.xxx.xxx.xxx にアクセスする(安全ではありません)」を押します。

アカウントを入力するフォームが表示されます。T-Pot インストール時に作成したユーザー情報を入力します。

正常にログインできると、様々なハニーポットの検知状況が見られるダッシュボードの詰め合わせセットの画面が表示されます。手始めに、T-Pot を押してみてください。

ハニーポットが攻撃を検知しているのが見られると思います。攻撃が来ていない場合は、ポートの開放状況を確認してみてください。

これで、T-Pot のインストールは完了です。ハニーポットで観察ができるようになりましたので、いろいろ分析してみてください!