mirror of
https://gitee.com/lauix/HFish
synced 2025-02-24 03:32:15 +08:00
84 lines
4.5 KiB
Markdown
84 lines
4.5 KiB
Markdown
|
- ### HFish的网络环境
|
|||
|
|
|
|||
|
|
> Server端应部署在安全区,只向少部分有网络管理权限和安全分析能力工作的人员和设备开放web和ssh端口
|
|||
|
|
|
|||
|
|
服务端用于配置管理的web页面开启了https,默认访问端口为4433,默认页面在web目录下。(端口和目录,可以在config.ini中自行配置)。
|
|||
|
|
|
|||
|
|
```url
|
|||
|
|
# 举个例子如果您Server端的ip为192.168.11.11,那么您应该在浏览器中输入如下的URL进行访问。
|
|||
|
|
|
|||
|
|
https://192.168.11.11:4433/web/
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
此外服务端还会开放另外两个端口,节点数据回传端口默认为4434,SSH服务默认访问端口为22。
|
|||
|
|
|
|||
|
|
**4433端口和22端口,“只能”被安全区的管理设备访问。4434端口,“必须能”被蜜罐节点访问。**
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
> OneFish服务端会主动访问如下网络域名
|
|||
|
|
|
|||
|
|
OneFish支持IPv4和IPv6地址环境,可以在完全隔离互联网的内部网络工作,但为了最大限度感知真实威胁和对接云端接口消费威胁情报,以及接受自动化升级服务,微步在线强烈建议客户允许HFish服务端访问互联网,为兼顾安全性和服务可用性,推荐用户仅允许OneFish服务端主动访问如下网络域名、地址和端口:
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
| 目的IP | 协议/端口 | 对应域名 | 访问目的 |
|
|||
|
|
| ------------------------------------------------------------ | --------- | ------------------- | ------------------------------------------------ |
|
|||
|
|
| 103.210.21.74 | TCP/443 | hfish.io | 用于官网升级功能,建议开启 |
|
|||
|
|
| 106.75.36.224 123.59.72.253 123.59.51.113 106.75.36.226 117.50.17.104 | TCP/443 | api.threatbook.cn | 用于威胁情报查询,如果未启用该功能,无需开放 |
|
|||
|
|
| 该域名使用CDN解析,建议用户在实际网络中解析后开放权限 | TCP/443 | open.feishu.cn | 用于飞书告警功能,如果未使用该功能,无需开放 |
|
|||
|
|
| 该域名使用CDN解析,建议用户在实际网络中解析后开放权限 | TCP/443 | oapi.dingtalk.com | 用于钉钉告警功能,如果未使用该功能,无需开放 |
|
|||
|
|
| 该域名使用CDN解析,建议用户在实际网络中解析后开放权限 | TCP/443 | qyapi.weixin.qq.com | 用于企业微信告警功能,如果未使用该功能,无需开放 |
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
注意:OneFish服务端仅需要通过NAT模式访问互联网,基于安全考虑,微步在线不建议用户将OneFish服务端管理接口暴露在互联网。
|
|||
|
|
|
|||
|
|
1. 如果使用邮件通知,请开启相应邮件服务器的访问权限。
|
|||
|
|
|
|||
|
|
2. 与此同时我们还支持 5 路syslog日志的发送,便于您的安全设备联动。请根据自己的情况开放权限。
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
### Server端的资源要求
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
> 蜜罐对资源的要求根据攻击数量的区别差异很大,通常来说部署在内网的蜜罐,对性能的要求很低。
|
|||
|
|
>
|
|||
|
|
> 但接入公网的蜜罐对性能就会有更大的需求。
|
|||
|
|
|
|||
|
|
针对我们过往的测试的情况,我们给出两个配置,一个最低配置,一个是我们的推进配置。如果您的蜜罐打算接到公网,并有比较大的攻击流量,请跟进资源占用情况,提升主机的配置。
|
|||
|
|
|
|||
|
|
```wiki
|
|||
|
|
最低配置:Server端 1c2g100G、节点1c1g50G
|
|||
|
|
|
|||
|
|
建议配置:Server端 2c4g200G、节点1c2g50G
|
|||
|
|
|
|||
|
|
日志磁盘占用,受攻击数量影响较大,我们建议Server端配置200G硬盘空间以上。
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
### Server端的权限审核
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
> 对root权限的需求
|
|||
|
|
|
|||
|
|
```wiki
|
|||
|
|
直接部署安装方式服务端的过程中,对于Mysql数据的安装和配置需要root权限。Server端的部署和使用不需要root权限。
|
|||
|
|
```
|
|||
|
|
|
|||
|
|
|
|||
|
|
|
|||
|
|
### 节点的安全配置
|
|||
|
|
|
|||
|
|
> 节点因为是直接面对攻击者的,安全配置是节点安全的重要保障
|
|||
|
|
|
|||
|
|
1. 外网节点和内网节点不能共用
|
|||
|
|
2. 如果有节点需要能被外网访问,那么建议把节点和服务端部署在DMZ区。
|
|||
|
|
3. 外网节点除了能访问Server端的4434(默认)端口外,不能有权限访问内网中的任何资产。
|
|||
|
|
4. 内网节点除了开放蜜罐服务相应端口外,其它任何端口都不应该在网络中能被用户访问到。考虑安全区设备有维护节点主机的需求,可以向有限的设备开放ssh端口。
|