【ハニーポットの検証】ハニーポット設置125日目 ～４月の危険なユーザ名、パスワード上位50位～

昨日、自宅のネットワーク構成を変更し、これまでNECルータのDMZホスト機能を使用して運用していたハニーポットを、BUFFALOルータ2台によるセグメントの分割を実施しました。

これまでは、この図のように同じセグメントにすべての機器が接続されており、外部からアクセスされた通信は、すべてDMZホストであるハニーポットPCに転送されていました。セグメントが同じなので、ハニーポットがやられてしまうと、すべて終わってしまう構成です。

変更後は、下図の通り、ハニーポットを1つ目のルータ（192.168.xxx.1）に接続し、こちらはFWをフルオープンにしています。また、すべての通信はハニーポットに向けて流れるようにしてあります。

他の機器は2つ目のルータ（192.168.yyy.1）に接続し、FWをしっかりとかけています。

そのため、192.168.xxx.0/24のセグメントから、192.168.yyy.0/24のセグメントにはアクセスできず、これまでより安全な環境にすることができました。

続きを読む

【ハニーポットの検証】ハニーポット設置122日目 ～GW直前にベトナムから多数の攻撃、そして速報～

先日、さくらVSPに@morihi_socさんのWOWHoneypotとcsi-honeypotを新しく植えたので、今日はその比較をしようと思っていましたが、観測できていなかった4月28日にベトナムから非常に多数の攻撃が届いていました。

続きを読む

【ハニーポットの検証】ハニーポット設置118日目 ～日本からPort:81に対する攻撃多発！～

今日は、さくらVSPに新しいハニーポットを植えたので、それで満足して寝ようと思いましたが、開いたT-POTのログがあまりに突出していましたので、急遽記事にすることにしました。

続きを読む

【T-POTの改造】 T-POTとWOWhoneypotの分離・WOWHoneypotとcsi-honeypotの共存（さくらVPSへの移設）

突然ですが、T-POTとWOWHoneypotを切り離しました。

何をしたいのかというと、自宅はT-POTのGlastopfを使用して、それとは別にさくらVPSを使用して東京でWOWHoneypotを観測して、その違いを見てみたいと思いまして…。

ついでに、csi-honeypotもさくらVPSに移して、これまたhoneytrapとの差異を見てみようという思い付きです。

続きを読む

【ハニーポットの検証】ハニーポット設置116日目 ～Cisco Smart Installの攻撃頻度は後日公開！～

すっかりハニーポットの観測がおろそかになっていますが、ハニーポット用のPCはしっかり起動していますので、データだけは溜まっています。

しっかり観測していかないといけないですね。

今回は、@morihi_socさんが、Cisco Smart Install用のハニーポットを作成されたとのことですので、そのハニーポットを使用して、同攻撃がどの程度あるのか観測を開始したいと思います。

続きを読む

パスワードの定期変更は行うべき？行わないべき？③ ～私の意見～

パスワードの定期変更に関して、何度か記事をアップしていますが、自分の中で未だにすっきり解決していませんので、もう少しこの記事を続けてみたいと思います。

tk-secu.hateblo.jp

tk-secu.hateblo.jp

今回は、私自身の考えるパスワード変更のメリットやデメリットがメインとなりますので、あまり参考にはならないかと思います。

（私の頭を整理する目的の記事です）

続きを読む

【ハニーポットの検証】ハニーポット設置111日目 ～ハニーポットの観測をさぼっている間に異変が！？～

NISTのパスワードに関するレポートを見るのに時間をとられて（という言い訳で）ハニーポットを全く観測していませんでしたので、6日ぶりに観測してみると、見ていなかった期間に異変が発生していました。 

続きを読む