Shikong/HFish
1
0
Fork 0
mirror of https://gitee.com/lauix/HFish synced 2025-02-23 11:12:14 +08:00
Code Issues Packages Projects Releases Wiki Activity

修改脚本地址

Browse Source
This commit is contained in:
maqian 2021-08-06 15:55:22 +08:00
parent d4d3f2d0c2
commit 1f3f6e4bdc
4 changed files with 87 additions and 87 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

164
docs/2-1-env.md
View File

@ -1,83 +1,83 @@
- ### HFish的网络环境
### HFish的网络环境
> Server端应部署在安全区只向少部分有网络管理权限和安全分析能力工作的人员和设备开放web和ssh端口
服务端用于配置管理的web页面开启了https默认访问端口为4433默认页面在web目录下。端口和目录可以在config.ini中自行配置
```url
# 举个例子如果您Server端的ip为192.168.11.11那么您应该在浏览器中输入如下的URL进行访问。
https://192.168.11.11:4433/web/
```
此外服务端还会开放另外两个端口节点数据回传端口默认为4434SSH服务默认访问端口为22。
**4433端口和22端口“只能”被安全区的管理设备访问。4434端口“必须能”被蜜罐节点访问。**
> OneFish服务端会主动访问如下网络域名
OneFish支持IPv4和IPv6地址环境可以在完全隔离互联网的内部网络工作但为了最大限度感知真实威胁和对接云端接口消费威胁情报以及接受自动化升级服务微步在线强烈建议客户允许HFish服务端访问互联网为兼顾安全性和服务可用性推荐用户仅允许OneFish服务端主动访问如下网络域名、地址和端口
| 目的IP | 协议/端口 | 对应域名 | 访问目的 |
| ------------------------------------------------------------ | --------- | ------------------- | ------------------------------------------------ |
| 103.210.21.74 | TCP/443 | hfish.io | 用于官网升级功能,建议开启 |
| 106.75.36.224 123.59.72.253 123.59.51.113 106.75.36.226 117.50.17.104 | TCP/443 | api.threatbook.cn | 用于威胁情报查询,如果未启用该功能,无需开放 |
| 该域名使用CDN解析建议用户在实际网络中解析后开放权限 | TCP/443 | open.feishu.cn | 用于飞书告警功能,如果未使用该功能,无需开放 |
| 该域名使用CDN解析建议用户在实际网络中解析后开放权限 | TCP/443 | oapi.dingtalk.com | 用于钉钉告警功能,如果未使用该功能,无需开放 |
| 该域名使用CDN解析建议用户在实际网络中解析后开放权限 | TCP/443 | qyapi.weixin.qq.com | 用于企业微信告警功能,如果未使用该功能,无需开放 |
注意OneFish服务端仅需要通过NAT模式访问互联网基于安全考虑微步在线不建议用户将OneFish服务端管理接口暴露在互联网。
1. 如果使用邮件通知,请开启相应邮件服务器的访问权限。
2. 与此同时我们还支持 5 路syslog日志的发送便于您的安全设备联动。请根据自己的情况开放权限。
### Server端的资源要求
> 蜜罐对资源的要求根据攻击数量的区别差异很大,通常来说部署在内网的蜜罐,对性能的要求很低。
>
> 但接入公网的蜜罐对性能就会有更大的需求。
针对我们过往的测试的情况,我们给出两个配置,一个最低配置,一个是我们的推进配置。如果您的蜜罐打算接到公网,并有比较大的攻击流量,请跟进资源占用情况,提升主机的配置。
```wiki
最低配置Server端 1c2g100G、节点1c1g50G
建议配置Server端 2c4g200G、节点1c2g50G
日志磁盘占用受攻击数量影响较大我们建议Server端配置200G硬盘空间以上。
```
### Server端的权限审核
> 对root权限的需求
```wiki
直接部署安装方式服务端的过程中对于Mysql数据的安装和配置需要root权限。Server端的部署和使用不需要root权限。
```
### 节点的安全配置
> 节点因为是直接面对攻击者的,安全配置是节点安全的重要保障
1. 外网节点和内网节点不能共用
2. 如果有节点需要能被外网访问那么建议把节点和服务端部署在DMZ区。
3. 外网节点除了能访问Server端的4434默认端口外不能有权限访问内网中的任何资产。
4. 内网节点除了开放蜜罐服务相应端口外其它任何端口都不应该在网络中能被用户访问到。考虑安全区设备有维护节点主机的需求可以向有限的设备开放ssh端口。
> Server端应部署在安全区只向少部分有网络管理权限和安全分析能力工作的人员和设备开放web和ssh端口
服务端用于配置管理的web页面开启了https默认访问端口为4433默认页面在web目录下。端口和目录可以在config.ini中自行配置
```url
# 举个例子如果您Server端的ip为192.168.11.11那么您应该在浏览器中输入如下的URL进行访问。
https://192.168.11.11:4433/web/
```
此外服务端还会开放另外两个端口节点数据回传端口默认为4434SSH服务默认访问端口为22。
**4433端口和22端口“只能”被安全区的管理设备访问。4434端口“必须能”被蜜罐节点访问。**
> HFish服务端会主动访问如下网络域名
HFish支持IPv4和IPv6地址环境可以在完全隔离互联网的内部网络工作但为了最大限度感知真实威胁和对接云端接口消费威胁情报以及接受自动化升级服务微步在线强烈建议客户允许HFish服务端访问互联网为兼顾安全性和服务可用性推荐用户仅允许HFish服务端主动访问如下网络域名、地址和端口
| 目的IP | 协议/端口 | 对应域名 | 访问目的 |
| ------------------------------------------------------------ | --------- | ------------------- | ------------------------------------------------ |
| 103.210.21.74 | TCP/443 | hfish.io | 用于官网升级功能,建议开启 |
| 106.75.36.224 123.59.72.253 123.59.51.113 106.75.36.226 117.50.17.104 | TCP/443 | api.threatbook.cn | 用于威胁情报查询,如果未启用该功能,无需开放 |
| 该域名使用CDN解析建议用户在实际网络中解析后开放权限 | TCP/443 | open.feishu.cn | 用于飞书告警功能,如果未使用该功能,无需开放 |
| 该域名使用CDN解析建议用户在实际网络中解析后开放权限 | TCP/443 | oapi.dingtalk.com | 用于钉钉告警功能,如果未使用该功能,无需开放 |
| 该域名使用CDN解析建议用户在实际网络中解析后开放权限 | TCP/443 | qyapi.weixin.qq.com | 用于企业微信告警功能,如果未使用该功能,无需开放 |
注意HFish服务端仅需要通过NAT模式访问互联网基于安全考虑微步在线不建议用户将HFish服务端管理接口暴露在互联网。
1. 如果使用邮件通知,请开启相应邮件服务器的访问权限。
2. 与此同时我们还支持 5 路syslog日志的发送便于您的安全设备联动。请根据自己的情况开放权限。
### Server端的资源要求
> 蜜罐对资源的要求根据攻击数量的区别差异很大,通常来说部署在内网的蜜罐,对性能的要求很低。
>
> 但接入公网的蜜罐对性能就会有更大的需求。
针对我们过往的测试的情况,我们给出两个配置,一个最低配置,一个是我们的推进配置。如果您的蜜罐打算接到公网,并有比较大的攻击流量,请跟进资源占用情况,提升主机的配置。
```wiki
最低配置Server端 1c2g100G、节点1c1g50G
建议配置Server端 2c4g200G、节点1c2g50G
日志磁盘占用受攻击数量影响较大我们建议Server端配置200G硬盘空间以上。
```
### Server端的权限审核
> 对root权限的需求
```wiki
直接部署安装方式服务端的过程中对于Mysql数据的安装和配置需要root权限。Server端的部署和使用不需要root权限。
```
### 节点的安全配置
> 节点因为是直接面对攻击者的,安全配置是节点安全的重要保障
1. 外网节点和内网节点不能共用
2. 如果有节点需要能被外网访问那么建议把节点和服务端部署在DMZ区。
3. 外网节点除了能访问Server端的4434默认端口外不能有权限访问内网中的任何资产。
4. 内网节点除了开放蜜罐服务相应端口外其它任何端口都不应该在网络中能被用户访问到。考虑安全区设备有维护节点主机的需求可以向有限的设备开放ssh端口。

2
docs/2-2-linux.md
View File

@ -3,7 +3,7 @@
如果您部署的环境为Linux且可以访问互联网。我们为您准备了一键部署脚本进行安装和配置请用root用户运行下面的脚本。
```
bash <(curl -sS -L https://hfish.io/install)
bash <(curl -sS -L https://hfish.io/install.sh)
```
[![image-20210616163833456](https://camo.githubusercontent.com/138f103b1cf034b7e493f298b453a43af20628a712f75c80a58d95a3a54b94ee/687474703a2f2f696d672e746872656174626f6f6b2e636e2f68666973682f32303231303631363136333833342e706e67)](https://camo.githubusercontent.com/138f103b1cf034b7e493f298b453a43af20628a712f75c80a58d95a3a54b94ee/687474703a2f2f696d672e746872656174626f6f6b2e636e2f68666973682f32303231303631363136333833342e706e67)

2
docs/3-3-tmpl.md
View File

@ -1,4 +1,4 @@
!> 蜜罐服务添加完成后,我们需要创建模板,把数个蜜罐服务自由组合成为模板。当前每个模板最多支持5个蜜罐服务。
!> 蜜罐服务添加完成后,我们需要创建模板,把数个蜜罐服务自由组合成为模板。当前每个模板最多支持10个蜜罐服务。
<img src="http://img.threatbook.cn/hfish/20210616170818.png" alt="image-20210616170816548" style="zoom:50%;" />

6
docs/3-4-check.md
View File

@ -1,6 +1,6 @@
### 部署后的确认检查
- ### server端
- ### 管理端server
1. 使用passwd修改root账户密码避免弱口令
2. 使用date确认系统时间的准确
@ -22,10 +22,10 @@
- ### Node端
- ### 节点端Client
1. 使用passwd修改root账户密码避免弱口令
2. 使用date确认系统时间的准确
3. 确认防火墙已经启用并配置了正确的端口放行需要放行22、22122端口和Node端上启动的蜜罐服务端口需要在server后台确认端口信息放行方式参考上面的server端命令。
3. 确认防火墙已经启用并配置了正确的端口放行需要放行22、22122端口和节点端上启动的蜜罐服务端口需要在server后台确认端口信息放行方式参考上面的server端命令。