Elk

ハニーポットを個人で運用する、というと「一部のマニアの趣味」に聞こえるかもしれません。実際そうです。 ただ、やってみると学べることがかなり多くて、個人的にはコスパの良い学習環境だと思っています。この記事では、T-Pot をVPSで運用するにあたっての構成・維持費・つまずいたポイントを、実際に運用している立場からまとめます。 「これからハニーポットを立ててみたい」という人の、つまずき回避の参考になればうれしいです。 そもそもT-Potとは T-Pot は、Deutsche Telekom Security が公開しているハニーポットのオールインワン環境です。 ハニーポットというのは、ざっくり言うとわざと攻撃させるためのおとりサーバのこと。攻撃者がやってくるのを待ち構えて、何をしてくるかを観察・記録します。 T-Pot のいいところは、数十種類のハニーポットを Docker でまとめて立ち上げてくれること。めちゃめちゃ種類あるので、是非とも公式github見て欲しいです。 https://github.com/telekom-security/tpotce/blob/master/README.md これらを1台にまとめて動かせるので、「実攻撃トラフィックを観測したい」という入り口にはぴったりです。 全体構成 ― あえてELKを分離する ここがこの記事の本題です。 T-Pot はデフォルトで構築すると、ログの可視化基盤である ELK Stack（Elasticsearch / Logstash / Kibana）が丸ごと付いてきます。便利。 システム要件はこんな感じです。 T-Pot Type RAM Storage Hive 16GB 256GB SSD Sensor 8GB 128GB SSD 企業運営だと、難なくデプロイできるでしょう。でも、私は収益も今のとこはない個人。 ELK、重い。 そこで、ELKをVPSから切り離して、自宅のPCで動かす構成にしています。図にするとこうです。 インターネット（攻撃者） │ ▼ ポート 1〜N 番を受ける ┌────────────────────────────┐ │ VPS（WebARENA Indigo） │ │ │ │ T-Pot CUSTOM EDITION │ │ ├ Cowrie（SSH/Telnet） │ │ ├ Dionaea（マルウェア捕獲） │ │ ├ Suricata（IDS） │ │ └ …他多数 │ │ │ │ ※ ELKは載せない（軽量化） │ │ ログはファイルに溜めておくだけ │ └────────────────────────────┘ │ │ SCPで手動取得（週1ペースでもOK） ▼ ┌────────────────────────────┐ │ 自宅PC（普段使いのマシン） │ │ │ │ ELK Stack（Docker） │ │ ├ Elasticsearch（保存・検索） │ │ ├ Logstash（取り込み・加工） │ │ └ Kibana（可視化） │ └────────────────────────────┘ VPS側は「攻撃を受けてログを溜めるだけ」に専念させて、重い分析・可視化は手元のPCに任せる、という分担です。 ...