Shikong/HFish
1
0
Fork 0
mirror of https://gitee.com/lauix/HFish synced 2025-02-24 19:52:18 +08:00
Code Issues Packages Projects Releases Wiki Activity
9cb2a47041
HFish/docs/2-1-env.md

89 lines
4.8 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

### 主机资源要求
> 蜜罐对资源的要求根据攻击数量的区别差异很大,通常来说部署在内网的蜜罐,对性能的要求很低。
>
> 但接入公网的蜜罐对性能就会有更大的需求。
针对过往测试情况,我们给出两个配置。注意,如果您的蜜罐部署在互联网,会遭受到较大攻击流量,建议提升主机的配置。
```wiki
最低配置:控制端 1c2g100G、节点端 1c1g50G
建议配置:控制端 2c4g200G、节点端 1c2g50G
日志磁盘占用受攻击数量影响较大我们建议控制端配置200G硬盘空间以上
```
### 联网要求
> HFish控制端会主动访问如下网络域名
HFish支持IPv4和IPv6地址环境可以在完全隔离互联网的内部网络工作但为了最大限度感知真实威胁和对接云端接口消费威胁情报以及接受自动化升级服务微步在线强烈建议客户允许HFish控制端访问互联网为兼顾安全性和服务可用性推荐用户仅允许HFish控制端主动访问如下网络域名、地址和端口
| 目的IP | 协议/端口 | 对应域名 | 访问目的 |
| ------------------------------------------------ ------- | --------- | ------------------- | ------------------------------------------------ |
| 103.210.21.74 | TCP/443 | hfish.io | 用于官网升级功能,建议开启 |
| 该域名使用CDN解析建议在实际网络中解析后开放权限 | TCP/443 | hfish.cn-bj.ufileos.com | 用于分发安装和升级包 |
| 106.75.36.224 123.59.72.253 123.59.51.113 106.75.36.226 117.50.17.104 | TCP/443 | api.threatbook.cn | 用于威胁情报查询,如果未启用该功能,无需开放 |
| 该域名使用CDN解析建议在实际网络中解析后开放权限 | TCP/443 | open.feishu.cn | 用于飞书告警功能,如果未使用该功能,无需开放 |
| 该域名使用CDN解析建议在实际网络中解析后开放权限 | TCP/443 | oapi.dingtalk.com | 用于钉钉告警功能,如果未使用该功能,无需开放 |
| 该域名使用CDN解析建议在实际网络中解析后开放权限 | TCP/443 | qyapi.weixin.qq.com | 用于企业微信告警功能,如果未使用该功能,无需开放 |
注意:
1. HFish控制端仅需要通过NAT模式访问互联网基于安全考虑不建议用户将HFish控制端控制端口TCP/4433暴露在互联网
2. 如果使用邮件通知,请开启相应邮件服务器的访问权限;
3. HFish支持 5 路syslog日志发送便于与安全设备联动请根据实际情况开放权限
### 部署权限要求
> 控制端对root权限的需求
```wiki
1. 如果您使用的是官网推荐的install.sh脚本安装安装目录被释放到opt目录下过程需要root权限
2. 如果您下载安装包手动安装在默认使用SQLite数据库情况下控制端的部署和使用不需要root权限但如何替换SQLite改为MySQL数据则MySQL安装和配置需要root权限
```
> 节点端对root权限的需求
```wiki
节点端安装和运行无需root权限但是由于操作系统限制非root权限运行的节点无法监听低于tcp/1024的端口
```
### 控制端安全要求
> 控制端应部署在安全区只向少部分有网络管理权限和安全分析能力工作的人员和设备开放web和ssh端口
控制端用于配置管理的web页面开启了https默认访问端口为tcp/4433端口和登录URL可以在config.ini中自行配置。
如果控制端主机的IP为192.168.11.11那么应该在浏览器中输入如下的URL进行访问。
https://192.168.11.11:4433/web/
此外控制端还会开放另外两个端口节点数据回传端口tcp/4434和SSH服务默认访问端口tcp/22。
强烈建议:
- **tcp/4433端口和tcp/22端口 “只能” 被安全区的管理设备访问**
- **tcp/4434端口“必须能”被蜜罐节点访问**;
### 节点端安全要求
> 节点直接面对攻击者,建议遵循以下安全配置:
1. 如果用户同时有外网和内部需求,强烈建议用户分别在外网和内网部署完全独立的两套控制端和节点端;
2. 如果有节点需要能被外网访问那么建议把节点和控制端部署在DMZ区
3. 外网节点除了能访问控制端的tcp/4434端口外不能有权限访问内网中的任何资产
4. 内网节点除了开放蜜罐服务相应端口外其它任何端口都不应该在网络中能被用户访问到。考虑安全区设备有维护节点主机的需求可以向有限的设备开放ssh端口
Reference in New Issue View Git Blame Copy Permalink