Shikong/HFish
1
0
Fork 0
mirror of https://gitee.com/lauix/HFish synced 2025-02-24 19:52:18 +08:00
Code Issues Packages Projects Releases Wiki Activity
1f3f6e4bdc
HFish/docs/2-1-env.md
maqian 1f3f6e4bdc 修改脚本地址
2021-08-06 15:55:22 +08:00

84 lines
4.3 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

### HFish的网络环境
> Server端应部署在安全区只向少部分有网络管理权限和安全分析能力工作的人员和设备开放web和ssh端口
服务端用于配置管理的web页面开启了https默认访问端口为4433默认页面在web目录下。端口和目录可以在config.ini中自行配置
```url
# 举个例子如果您Server端的ip为192.168.11.11那么您应该在浏览器中输入如下的URL进行访问。
https://192.168.11.11:4433/web/
```
此外服务端还会开放另外两个端口节点数据回传端口默认为4434SSH服务默认访问端口为22。
**4433端口和22端口“只能”被安全区的管理设备访问。4434端口“必须能”被蜜罐节点访问。**
> HFish服务端会主动访问如下网络域名
HFish支持IPv4和IPv6地址环境可以在完全隔离互联网的内部网络工作但为了最大限度感知真实威胁和对接云端接口消费威胁情报以及接受自动化升级服务微步在线强烈建议客户允许HFish服务端访问互联网为兼顾安全性和服务可用性推荐用户仅允许HFish服务端主动访问如下网络域名、地址和端口
| 目的IP | 协议/端口 | 对应域名 | 访问目的 |
| ------------------------------------------------------------ | --------- | ------------------- | ------------------------------------------------ |
| 103.210.21.74 | TCP/443 | hfish.io | 用于官网升级功能,建议开启 |
| 106.75.36.224 123.59.72.253 123.59.51.113 106.75.36.226 117.50.17.104 | TCP/443 | api.threatbook.cn | 用于威胁情报查询,如果未启用该功能,无需开放 |
| 该域名使用CDN解析建议用户在实际网络中解析后开放权限 | TCP/443 | open.feishu.cn | 用于飞书告警功能,如果未使用该功能,无需开放 |
| 该域名使用CDN解析建议用户在实际网络中解析后开放权限 | TCP/443 | oapi.dingtalk.com | 用于钉钉告警功能,如果未使用该功能,无需开放 |
| 该域名使用CDN解析建议用户在实际网络中解析后开放权限 | TCP/443 | qyapi.weixin.qq.com | 用于企业微信告警功能,如果未使用该功能,无需开放 |
注意HFish服务端仅需要通过NAT模式访问互联网基于安全考虑微步在线不建议用户将HFish服务端管理接口暴露在互联网。
1. 如果使用邮件通知,请开启相应邮件服务器的访问权限。
2. 与此同时我们还支持 5 路syslog日志的发送便于您的安全设备联动。请根据自己的情况开放权限。
### Server端的资源要求
> 蜜罐对资源的要求根据攻击数量的区别差异很大,通常来说部署在内网的蜜罐,对性能的要求很低。
>
> 但接入公网的蜜罐对性能就会有更大的需求。
针对我们过往的测试的情况,我们给出两个配置,一个最低配置,一个是我们的推进配置。如果您的蜜罐打算接到公网,并有比较大的攻击流量,请跟进资源占用情况,提升主机的配置。
```wiki
最低配置Server端 1c2g100G、节点1c1g50G
建议配置Server端 2c4g200G、节点1c2g50G
日志磁盘占用受攻击数量影响较大我们建议Server端配置200G硬盘空间以上。
```
### Server端的权限审核
> 对root权限的需求
```wiki
直接部署安装方式服务端的过程中对于Mysql数据的安装和配置需要root权限。Server端的部署和使用不需要root权限。
```
### 节点的安全配置
> 节点因为是直接面对攻击者的,安全配置是节点安全的重要保障
1. 外网节点和内网节点不能共用
2. 如果有节点需要能被外网访问那么建议把节点和服务端部署在DMZ区。
3. 外网节点除了能访问Server端的4434默认端口外不能有权限访问内网中的任何资产。
4. 内网节点除了开放蜜罐服务相应端口外其它任何端口都不应该在网络中能被用户访问到。考虑安全区设备有维护节点主机的需求可以向有限的设备开放ssh端口。
Reference in New Issue View Git Blame Copy Permalink