diff --git a/docs/2-1-env.md b/docs/2-1-env.md index 31c562e..82c75d3 100644 --- a/docs/2-1-env.md +++ b/docs/2-1-env.md @@ -1,83 +1,83 @@ -- ### HFish的网络环境 +### HFish的网络环境 - > Server端应部署在安全区,只向少部分有网络管理权限和安全分析能力工作的人员和设备开放web和ssh端口 - - 服务端用于配置管理的web页面开启了https,默认访问端口为4433,默认页面在web目录下。(端口和目录,可以在config.ini中自行配置)。 - - ```url - # 举个例子如果您Server端的ip为192.168.11.11,那么您应该在浏览器中输入如下的URL进行访问。 - - https://192.168.11.11:4433/web/ - ``` - - 此外服务端还会开放另外两个端口,节点数据回传端口默认为4434,SSH服务默认访问端口为22。 - - **4433端口和22端口,“只能”被安全区的管理设备访问。4434端口,“必须能”被蜜罐节点访问。** - - - - > OneFish服务端会主动访问如下网络域名 - - OneFish支持IPv4和IPv6地址环境,可以在完全隔离互联网的内部网络工作,但为了最大限度感知真实威胁和对接云端接口消费威胁情报,以及接受自动化升级服务,微步在线强烈建议客户允许HFish服务端访问互联网,为兼顾安全性和服务可用性,推荐用户仅允许OneFish服务端主动访问如下网络域名、地址和端口: - - - - | 目的IP | 协议/端口 | 对应域名 | 访问目的 | - | ------------------------------------------------------------ | --------- | ------------------- | ------------------------------------------------ | - | 103.210.21.74 | TCP/443 | hfish.io | 用于官网升级功能,建议开启 | - | 106.75.36.224 123.59.72.253 123.59.51.113 106.75.36.226 117.50.17.104 | TCP/443 | api.threatbook.cn | 用于威胁情报查询,如果未启用该功能,无需开放 | - | 该域名使用CDN解析,建议用户在实际网络中解析后开放权限 | TCP/443 | open.feishu.cn | 用于飞书告警功能,如果未使用该功能,无需开放 | - | 该域名使用CDN解析,建议用户在实际网络中解析后开放权限 | TCP/443 | oapi.dingtalk.com | 用于钉钉告警功能,如果未使用该功能,无需开放 | - | 该域名使用CDN解析,建议用户在实际网络中解析后开放权限 | TCP/443 | qyapi.weixin.qq.com | 用于企业微信告警功能,如果未使用该功能,无需开放 | - - - - 注意:OneFish服务端仅需要通过NAT模式访问互联网,基于安全考虑,微步在线不建议用户将OneFish服务端管理接口暴露在互联网。 - - 1. 如果使用邮件通知,请开启相应邮件服务器的访问权限。 - - 2. 与此同时我们还支持 5 路syslog日志的发送,便于您的安全设备联动。请根据自己的情况开放权限。 - - - - - ### Server端的资源要求 - - - - > 蜜罐对资源的要求根据攻击数量的区别差异很大,通常来说部署在内网的蜜罐,对性能的要求很低。 - > - > 但接入公网的蜜罐对性能就会有更大的需求。 - - 针对我们过往的测试的情况,我们给出两个配置,一个最低配置,一个是我们的推进配置。如果您的蜜罐打算接到公网,并有比较大的攻击流量,请跟进资源占用情况,提升主机的配置。 - - ```wiki - 最低配置:Server端 1c2g100G、节点1c1g50G - - 建议配置:Server端 2c4g200G、节点1c2g50G - - 日志磁盘占用,受攻击数量影响较大,我们建议Server端配置200G硬盘空间以上。 - ``` - - - - ### Server端的权限审核 - - - - > 对root权限的需求 - - ```wiki - 直接部署安装方式服务端的过程中,对于Mysql数据的安装和配置需要root权限。Server端的部署和使用不需要root权限。 - ``` - - - - ### 节点的安全配置 - - > 节点因为是直接面对攻击者的,安全配置是节点安全的重要保障 - - 1. 外网节点和内网节点不能共用 - 2. 如果有节点需要能被外网访问,那么建议把节点和服务端部署在DMZ区。 - 3. 外网节点除了能访问Server端的4434(默认)端口外,不能有权限访问内网中的任何资产。 - 4. 内网节点除了开放蜜罐服务相应端口外,其它任何端口都不应该在网络中能被用户访问到。考虑安全区设备有维护节点主机的需求,可以向有限的设备开放ssh端口。 +> Server端应部署在安全区,只向少部分有网络管理权限和安全分析能力工作的人员和设备开放web和ssh端口 + +服务端用于配置管理的web页面开启了https,默认访问端口为4433,默认页面在web目录下。(端口和目录,可以在config.ini中自行配置)。 + +```url +# 举个例子如果您Server端的ip为192.168.11.11,那么您应该在浏览器中输入如下的URL进行访问。 + +https://192.168.11.11:4433/web/ +``` + +此外服务端还会开放另外两个端口,节点数据回传端口默认为4434,SSH服务默认访问端口为22。 + +**4433端口和22端口,“只能”被安全区的管理设备访问。4434端口,“必须能”被蜜罐节点访问。** + + + +> HFish服务端会主动访问如下网络域名 + +HFish支持IPv4和IPv6地址环境,可以在完全隔离互联网的内部网络工作,但为了最大限度感知真实威胁和对接云端接口消费威胁情报,以及接受自动化升级服务,微步在线强烈建议客户允许HFish服务端访问互联网,为兼顾安全性和服务可用性,推荐用户仅允许HFish服务端主动访问如下网络域名、地址和端口: + + + +| 目的IP | 协议/端口 | 对应域名 | 访问目的 | +| ------------------------------------------------------------ | --------- | ------------------- | ------------------------------------------------ | +| 103.210.21.74 | TCP/443 | hfish.io | 用于官网升级功能,建议开启 | +| 106.75.36.224 123.59.72.253 123.59.51.113 106.75.36.226 117.50.17.104 | TCP/443 | api.threatbook.cn | 用于威胁情报查询,如果未启用该功能,无需开放 | +| 该域名使用CDN解析,建议用户在实际网络中解析后开放权限 | TCP/443 | open.feishu.cn | 用于飞书告警功能,如果未使用该功能,无需开放 | +| 该域名使用CDN解析,建议用户在实际网络中解析后开放权限 | TCP/443 | oapi.dingtalk.com | 用于钉钉告警功能,如果未使用该功能,无需开放 | +| 该域名使用CDN解析,建议用户在实际网络中解析后开放权限 | TCP/443 | qyapi.weixin.qq.com | 用于企业微信告警功能,如果未使用该功能,无需开放 | + + + +注意:HFish服务端仅需要通过NAT模式访问互联网,基于安全考虑,微步在线不建议用户将HFish服务端管理接口暴露在互联网。 + +1. 如果使用邮件通知,请开启相应邮件服务器的访问权限。 + +2. 与此同时我们还支持 5 路syslog日志的发送,便于您的安全设备联动。请根据自己的情况开放权限。 + + + + +### Server端的资源要求 + + + +> 蜜罐对资源的要求根据攻击数量的区别差异很大,通常来说部署在内网的蜜罐,对性能的要求很低。 +> +> 但接入公网的蜜罐对性能就会有更大的需求。 + +针对我们过往的测试的情况,我们给出两个配置,一个最低配置,一个是我们的推进配置。如果您的蜜罐打算接到公网,并有比较大的攻击流量,请跟进资源占用情况,提升主机的配置。 + +```wiki +最低配置:Server端 1c2g100G、节点1c1g50G + +建议配置:Server端 2c4g200G、节点1c2g50G + +日志磁盘占用,受攻击数量影响较大,我们建议Server端配置200G硬盘空间以上。 +``` + + + +### Server端的权限审核 + + + +> 对root权限的需求 + +```wiki +直接部署安装方式服务端的过程中,对于Mysql数据的安装和配置需要root权限。Server端的部署和使用不需要root权限。 +``` + + + +### 节点的安全配置 + +> 节点因为是直接面对攻击者的,安全配置是节点安全的重要保障 + +1. 外网节点和内网节点不能共用 +2. 如果有节点需要能被外网访问,那么建议把节点和服务端部署在DMZ区。 +3. 外网节点除了能访问Server端的4434(默认)端口外,不能有权限访问内网中的任何资产。 +4. 内网节点除了开放蜜罐服务相应端口外,其它任何端口都不应该在网络中能被用户访问到。考虑安全区设备有维护节点主机的需求,可以向有限的设备开放ssh端口。 diff --git a/docs/2-2-linux.md b/docs/2-2-linux.md index 2bcd5d4..3f40753 100644 --- a/docs/2-2-linux.md +++ b/docs/2-2-linux.md @@ -3,7 +3,7 @@ 如果您部署的环境为Linux,且可以访问互联网。我们为您准备了一键部署脚本进行安装和配置,请用root用户,运行下面的脚本。 ``` -bash <(curl -sS -L https://hfish.io/install) +bash <(curl -sS -L https://hfish.io/install.sh) ``` [![image-20210616163833456](https://camo.githubusercontent.com/138f103b1cf034b7e493f298b453a43af20628a712f75c80a58d95a3a54b94ee/687474703a2f2f696d672e746872656174626f6f6b2e636e2f68666973682f32303231303631363136333833342e706e67)](https://camo.githubusercontent.com/138f103b1cf034b7e493f298b453a43af20628a712f75c80a58d95a3a54b94ee/687474703a2f2f696d672e746872656174626f6f6b2e636e2f68666973682f32303231303631363136333833342e706e67) diff --git a/docs/3-3-tmpl.md b/docs/3-3-tmpl.md index 10a4da8..d1e8c37 100644 --- a/docs/3-3-tmpl.md +++ b/docs/3-3-tmpl.md @@ -1,4 +1,4 @@ -!> 蜜罐服务添加完成后,我们需要创建模板,把数个蜜罐服务自由组合成为模板。当前每个模板最多支持5个蜜罐服务。 +!> 蜜罐服务添加完成后,我们需要创建模板,把数个蜜罐服务自由组合成为模板。当前每个模板最多支持10个蜜罐服务。 image-20210616170816548 diff --git a/docs/3-4-check.md b/docs/3-4-check.md index 03da4ca..23f427f 100644 --- a/docs/3-4-check.md +++ b/docs/3-4-check.md @@ -1,6 +1,6 @@ ### 部署后的确认检查 -- ### server端: +- ### 管理端(server): 1. 使用passwd修改root账户密码,避免弱口令 2. 使用date,确认系统时间的准确 @@ -22,10 +22,10 @@ -- ### Node端: +- ### 节点端(Client): 1. 使用passwd修改root账户密码,避免弱口令 2. 使用date确认系统时间的准确 - 3. 确认防火墙已经启用,并配置了正确的端口放行,需要放行22、22122端口和Node端上启动的蜜罐服务端口(需要在server后台确认端口信息),放行方式参考上面的server端命令。 + 3. 确认防火墙已经启用,并配置了正确的端口放行,需要放行22、22122端口和节点端上启动的蜜罐服务端口(需要在server后台确认端口信息),放行方式参考上面的server端命令。