SSH 허니팟 탐지 설정
고객 엔터프라이즈 네트워크 내에 구축된 허니팟을 사용하여 LAN의 다른 시스템을 감염시키거나 공격하려는 멀웨어에 의해 생성된 네트워크 활동을 탐지할 수 있습니다. 시도된 SSH 로그인 허니팟은 측면 확산 이벤트 탐지를 보완하는 데 사용됩니다. 허니팟은 이벤트 정보가 처리를 위해 주니퍼 ATP 어플라이언스 코어로 전송되는 고객 트래픽 수집기에 구축될 수 있습니다. 고객은 원하는 로컬 네트워크에 허니팟을 배치할 수 있습니다.
무차별 암호 대입 SSH 항목을 수행하거나 "루트" 계정에 대한 대상 SSH 액세스를 실행하려는 악의적인 행위자도 주니퍼 ATP 어플라이언스 SSH 허니팟 기능에 의해 탐지됩니다.
SSH 허니팟 탐지 결과는 Central Manager 웹 UI 인시던트 페이지에 표시되며 생성된 보고서에 포함됩니다.
허니팟 탐지 이벤트를 위해 주니퍼 ATP 어플라이언스 GSS로 전송되는 데이터에는 "Threat Target"과 타임스탬프가 포함된 모든 시도된 "SSH 세션"(사용자 이름 및 비밀번호 포함)에 대한 세부 정보가 포함됩니다.
주니퍼 ATP 어플라이언스 엔터프라이즈 라이선스는 SSH 허니팟 자산 탐지 구성에 필요합니다.
허니팟은 호스트에 충분한 물리적 인터페이스가 있는 한 주니퍼 ATP 어플라이언스 올인원 시스템 또는 Traffic Collector 전용 디바이스에서 작동할 수 있습니다. 각 허니팟은 인터넷/인트라넷 트래픽에 대한 외부 연결 인터페이스와 내부 호스트-게스트 통신에 대한 인터페이스 등 두 개의 인터페이스를 사용합니다. 즉, 각 허니팟은 모든 아웃바운드 트래픽에 eth3 인터페이스를 사용합니다.
eth3가 반드시 디바이스의 네 번째 인터페이스일 필요는 없습니다. 세 개의 인터페이스가 있는 수집기 전용 디바이스에서 인터페이스 이름은 eth0, eth1 및 eth3입니다. 4개의 인터페이스가 있는 컬렉터는 eth0, eth1, eth2 및 eth3 이름 지정을 사용합니다. 컬렉터에 인터페이스가 3개 미만인 경우 허니팟 기능을 활성화할 수 없습니다. 올인원(All-in-One) 디바이스는 허니팟 기능을 위해 최소 4개의 인터페이스가 필요한데, 이는 3번째 인터페이스가 이미 분석 배기 인터페이스로 예약되어 있기 때문입니다.
SSH 허니팟은 주니퍼 ATP 어플라이언스 디바이스 CLI에서 구성됩니다. 허니팟에 설정할 수 있는 두 가지 매개 변수가 있습니다.
허니팟 사용/사용 안 함
공개적으로 주소 지정이 가능한 인터페이스의 고정 IP(IP, 마스크 및 게이트웨이) 또는 DHCP를 제공합니다
고정 IP 구성에는 DNS 구성이 필요하지 않습니다. 현재 허니팟에는 DNS 서버가 필요하지 않습니다.
자세한 정보:
SSH 허니팟 명령 사용에 대한 CLI 명령 참조를 참조하십시오.
허니팟 및 측면 감지에 대한 정보는 Operator's Guide를 참조하십시오.