Wednesday, February 6, 2013

Pot de miel "honeypot"


   

    Un honeypot (en français pot de miel) est un ordinateur ou un programme volontairement vulnérable destiné à attirer et à piéger les pirates informatiques.


    Le principe est de faire croire l'attaquant qu'il peut prendre le controle d'une machine ou un programme. Tout trafic vers le honeypot est considéré comme suspect.

     On compte deux types de honeypots qui ont des buts et des fonctionnalités bien distinctes :


  •     Les honeypots à faible interaction.
  •     Les honeypots à forte interaction.

    Objectifs:
      – Distraire un attaquant pour protéger des machines plus sensibles.
      – Collecte de malwares.
      – Découvrir de nouvelles techniques d’attaques, de nouveaux outils...
    Remarque: Un grand nombre de projets sur les honeypots ont vu le jour pour collecter des informations sur les outils utilisés par les hackers, leurs méthodes d’attaque et les failles de sécurité qu’ils exploitent mais aussi et surtout leurs motivations.

      


  1.     Honeypots à faible interaction :

    Ils sont les plus simples de la famille des honeypots. Leur but est de récolter un maximum d’informations tout en offrant un minimum de privilèges aux piratesIls permettent de limiter les risques au maximum.
    Contrairement à un honeypot à forte interaction, il ne fait que simuler ces services et ne les possède pas réellement. Ils ne peuvent donc pas être exploités par les malwares pour se déployer.
    Comme titre d'exemple on trouve:

  • Netcat qui enregistre dans un journal toutes les connexions, ainsi que les commandes entrées par l'agresseur sur un port particulier. Ce type d’écoute reste très limité car il faut exécuter la commande pour chaque port que l'on souhaite observer.

  • Honeyd est un honeypot à faible interaction complet et particulièrement souple grâce a son système de script. Attention tout de même car Honeyd n'a pas été conçu pour fonctionner dans un environnement de production mais plutôt dans un domaine de recherche afin d'améliorer la sécurité d'un réseau. Honeyd est capable d’émuler des machines ou un réseau virtuel dans le but de leurrer les pirates (hackers).
  • autre exemples:

               – honeytrap
               – sepenthes 
               – Specter 

       2.      Honeypots à forte interaction :

     Les risques sont beaucoup plus importants que pour les honeypots à faible interaction car le principe est d'offrir l’accès à de véritables services sur une machine du réseau plus ou moins sécurisée. Le honeypot à forte interaction doit accepter toutes les connexions entrantes et au contraire limiter les connexions sortantes pour éviter tout débordement.
Les principales taches d'un tel honeypot sont:

  • le contrôle de données : pour observer le maximum d’attaques.
  • la capture des données : avec un pare-feu ou un système de détection d'intrusion (SDI).

    Exemple:  ROO HoneyWall










    
Posted by imed
Labels: , , , , , , , , , ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)