-
Universit Hassan 1er
Rapport de projet
HONEYPOTs
3me anne cycle dingnieurs Gnie Rseaux et Tlcommunications
Ralis par : Encadr par :
BOUKHIRA Adil Pr Y.KHAMLICHI GHAMRANE Layla HADJI Abdelhakim
LOUAH Majdouline
Anne universitaire 2013-2014
-
1
Services Daccs
Remerciement
Nous tenons prsenter nos vifs remerciements et notre profond
respect M.KHAMLICHI qui nous a prt main forte pour
lencadrement et la ralisation de ce travail.
Ainsi, nous adressons nos remerciements tous nos
professeurs,
Monsieur le Directeur ainsi qu tout le personnel de lEcole
Nationale
des Sciences Appliqus Khouribga. Nous tenons aussi remercier
tous ceux qui ont contribu de prs ou de loin au bon droulement
de
notre projet.
-
2
Services Daccs
Table des matires I. Prsentation
.........................................................................................................................
4
1. Quest-ce quun honeypot ?
............................................................................................
4
2. Quest-ce quun exploit ?
................................................................................................
4
3. Un peu dhistoire
.............................................................................................................
4
4. Buts recherchs
...............................................................................................................
5
a. Production
....................................................................................................................
5
b. Recherche
....................................................................................................................
5
5. Avantages et inconvnients des honeypots
.....................................................................
5
a. Avantages
....................................................................................................................
5
b. Inconvnients
...............................................................................................................
5
II. tude thorique des honeypots
...........................................................................................
5
1. Web honeypots
................................................................................................................
6
2. Honeypots faible interaction
.........................................................................................
6
3. Honeypot moyenne interaction
.....................................................................................
7
4. Honeypots forte interaction
..........................................................................................
8
III. Mise en place des honeypots
..............................................................................................
8
1. Honeypots faible interaction : AMUN
.........................................................................
8
a. Amun.conf :
.................................................................................................................
9
b. log-mail.conf
................................................................................................................
9
c. Start Amun
...................................................................................................................
9
2. Honeypot faible attraction : Nepenthes
......................................................................
10
3. Comparaison entre Nepenthes et Amun
........................................................................
12
4. Honeypots faible interaction : Pentbox.
.....................................................................
12
5. Rseaux de machine faible interaction Honeyd
......................................................... 14
a. Configuration
.............................................................................................................
15
b. Tests.
..........................................................................................................................
16
c. Conclusion :
...............................................................................................................
18
-
3
Services Daccs
6. Honeypot moyen attraction : Kojoney
.......................................................................
18
a. Prparation :
...............................................................................................................
18
b. Tlcharger et installer Kojoney
................................................................................
19
7. Honeypot haute attraction : Honeynet
........................................................................
19
IV. Dtection des honeypots
...................................................................................................
20
V. Conclusion :
......................................................................................................................
22
-
4
Services Daccs
I. Prsentation
Ces dernires annes avec le dveloppement dInternet, le nombre
dattaques a considrablement augment. En effet, avec linformation
disponible sur la toile, un nophyte peut facilement se procurer les
outils spcialiss et lancer des attaques partir de chez lui. En
dehors de ces petites
attaques "pour le fun", on retrouve galement les attaques de
grandes envergures menes la
baguette par des professionnels du piratage et qui sont destines
obtenir des donnes
confidentielles afin den faire du profit. Ceux sont ces attaques
qui sont les plus redoutes par les entreprises. Ainsi pour tre
efficace face ces attaques, le monde de la scurit a ragi
rapidement et a labor de nouvelles mthodes prventives, les
honeypots sont la tte de celles-
ci.
1. Quest-ce quun honeypot ? Un honeypot est une ressource
volontairement vulnrable destine attirer et piger les
pirates. En pratique cest gnralement une machine, virtuelle ou
non, faisant tourner ou mulant un ou plusieurs services, qui
nattendent que dtre compromis par un pirate.
2. Quest-ce quun exploit ? Plusieurs termes relatifs la scurit
informatique sont employs tout au long de ce rapport.
Parmi ceux-ci, on retrouve le terme exploit qui dsigne un
programme malveillant utilisant un
payload particulier pour exploiter une faille de scurit dans un
systme dexploitation ou un logiciel. Une exploitation russie peut
conduire une lvation de privilges en local ou un
accs distant sur la machine pirate. Les failles de scurit les
plus exploits sont celles des
applications web et les dbordements de tampon dans les
logiciels/noyaux. La faille de type
dbordement de tampon consiste envoyer dans un tampon plus de
donnes quil ne peut en contenir, si le programme est mal dvelopp il
va crire les donnes en trop en dehors de
lespace mmoire alloue pour le tampon et craser des donnes
essentielles (variables, saved eip) au bon droulement du programme.
Le pirate peut ainsi dtourner le flot dexcution dun programme pour
le placer sur un Shellcode.
3. Un peu dhistoire Lide nest pas nouvelle et peut tre attribue
Bill Cheswick, un programmeur systme
spcialis dans la scurit et travaillant chez AT&T Bell. Le 7
Janvier 1991, il a commenc
jouer avec un pirate en rpondant manuellement ces requtes qui
tentaient dexploiter une faille dans le dmon sendmail. Bill a alors
russi lui faire croire quil avait obtenu une copie du fichier
passwd qui contenait en ralit que des comptes falsifis et contrls
par le programmeur
de AT&T Bell. Il a alors laiss le pirate samuser sur la
machine et a tudi son comportement pendant plusieurs mois. Il a
ensuite publi un papier sur ses dcouvertes.
Ce nest seulement quen 2000 que le terme honeypot a vraiment t
intgr dans le monde des entreprises. En effet, cest cette poque que
lon a vu le dploiement des premiers honeynets.
-
5
Services Daccs
4. Buts recherchs Les pots de miel sont essentiellement utiliss
dans des environnements de production ou de
recherche.
a. Production
Dans un environnement de production, un honeypot est utilis pour
drouter les attaques vers
des machines leurres qui simulent un rseau de production. Ce
type dhoneypot ne requiert pas beaucoup de vigilance de la part de
ladministrateur. Il doit uniquement surveiller les intrusions sur
les machines leurres afin de sassurer que les failles exploites ne
sont pas prsentes sur les machines de production relles.
b. Recherche
Cest le domaine dapplication des honeypots le plus intressant et
celui qui a t trait tout au long du projet. Le rle de lhoneypot
dans un environnement de recherche est dobserver les mthodes de
piratage et tudier le comportement des pirates. Ce type dhoneypot
est plus difficile mettre en place et requiert un suivi constant si
on ne veut pas avoir de mauvaises
surprises.
5. Avantages et inconvnients des honeypots
a. Avantages
Le but dun honeypot est de capturer un pirate et/ou de loccuper
pendant un certain temps,
pendant lequel il ne sattaquera pas aux vrais systmes de
production. Cest dans cette optique
quil est important de rappeler que les honeypots ne sont pas une
solution que lon place pour
rsoudre un problme mais un outil exploiter. Ce sont des allis
trs efficaces pour les IDS et
sont des solutions trs rapides mettre en place.
Enfin, utiliser un honeypot au sein dun rseau interne dune
entreprise se rvle tre un outil
redoutable pour la dtection des actes de malveillance provenant
de lintrieur.
b. Inconvnients
Puisque les honeypots doivent simuler des services et des
systmes utiliss par les vrais
systmes de production, ils doivent tre attractifs afin de
susciter lintrt sinon il sera ignor donc par consquent inutile.
II. tude thorique des honeypots
Selon les besoins, on distingue plusieurs types dhoneypots.
Cette section dcrit les types
dhoneypots les plus rpandus.
-
6
Services Daccs
1. Web honeypots Des dizaines dapplications web naissent chaque
jour. Gnralement crites en PHP, ces
applications contiennent des bugs qui conduisent pour la plupart
du temps des vulnrabilits.
"XSS", "include", "path disclosure", "file disclosure" sont des
termes qui nont plus aucun secret
pour les pirates et tous les jours, des milliers de sites sont
compromis grce lexploitation dune
de ces failles. Cest ainsi que lon a vu grandir les web
honeypots dans le but de
contrer/comprendre/analyser ce genre dattaque.
titre dexemple, on peut citer le Google Hack Honeypot, le
premier web honeypot qui
mule des applications PHP connues telles que phpbb, joomla, les
rfrences ensuite dans le
moteur de recherche le plus utilis du monde et attend des
attaques pour rcuprer la requte
utilise pour atteindre la fausse application. Les informations
glanes peuvent tre ensuite
analyses pour localiser de nouvelles failles non publies, prvoir
larrive dun nouveau ver et
le contrer comme cela a t fait pour le ver Santy qui rcuperait
des sites vulnrables en
envoyant des requtes spcifiques Google qui na mis que quelques
jours pour les bloquer.
2. Honeypots faible interaction Un honeypot faible interaction
mule des faux services vulnrables qui par dfaut ne
rpondent aucune requte. En contrepartie, tous les paquets
arrivant destination des ports en
coute sont enregistrs. Le pirate ninteragit jamais avec le
systme dexploitation en lui-mme
et la scurit est ainsi conserve, si les faux services ne
contiennent bien videment pas de trou
de scurit.
Ce type de pot de miel est utile pour relever des statistiques
sur les services les plus attaqus.
Si le payload de lexploit se trouve dans le premier paquet envoy
par le pirate alors on peut
capturer des vers, dceler de nouvelles vulnrabilits. Ils sont
simples mettre en oeuvre et
administrer mais sont grandement limits dans le sens o nous
navons aucune information sur le
comportement des pirates puisquils noffrent aucune possibilit au
pirate dinteragir avec le
service et mme la machine.
Parmi les honeypots faible interaction les plus populaires, on
retrouve honeytrap qui
coute sur tous les ports TCP non utiliss par le systme et qui
loge toutes les tentatives de
connexion ainsi que les payloads utiliss. De plus un systme
danalyse de payload permet
dextraire, des shellcodes connus, les excutables qui taient
censs sexcuter si la faille aurait
t prsente.
-
7
Services Daccs
Figure 1 : honeypot faible interaction
3. Honeypot moyenne interaction Les honeypots moyenne
interaction sont quune simple volution des honeypots prsents
prcdemment dans le sens o ils rpondent au pirate avec des
fausses rponses qui laissent
croire au pirate que la faille est bien prsente et quelle a t
exploite avec succs. Ainsi on peut
imaginer un faux serveur, lorsquil reoit une requte lgitime, il
rpond avec une rponse qui
colle au protocole demand tandis que lorsquil reoit une requte
avec un argument de plus de
65535 octets, il rpond pas la requte, analyse le payload qui
tente dexcuter des instructions
arbitraires et lance un programme externe qui simule lattitude
de ce payload, le pirate ny voit
que du feu et envoie maintenant ses donnes, qui sont loges,
loutil qui simule le payload.
Nepenthes est un de ces honeypot moyenne interaction qui permet
dmuler des
vulnrabilits connues dans Microsoft Windows et qui possde un
analyseur de payload qui
reconnat et peut muler plus de 90% des shellcodes afin de
rcuprer des vers, des
virus .
Figure2 : honeypot a moyenne interaction
-
8
Services Daccs
4. Honeypots forte interaction Contrairement aux deux types
prcdents, les honeypots forte interaction ne sont pas bass
sur lmulation de services ou de systmes dexploitation. Au
contraire, ils reposent sur un vrai
systme dexploitation ou de vritables services, vulnrables ou
non, tournent et sont accessibles
aux pirates. Ainsi, la mthode dapproche est compltement
diffrente puisque lon offre au
pirate la possibilit de rentrer dans le systme et de faire ce
quil lui plat une fois le systme
compromis.
Le but du jeu est donc de contrler les faits et gestes du pirate
sans se faire dmasquer. Cest le
type dhoneypot le plus dploy pour faire de la recherche puisque
ceux sont les seuls qui
permettent de rellement dtudier le comportement des pirates et
ceux sont galement les plus
difficiles administrer. Diffrentes mthodes pour contrler et
capturer les donnes ont t
labores par lorganisation "The Honeynet Project" que nous allons
dcrire et mettre en place
dans la section suivante.
Figure 3 : honeypots forte interaction
III. Mise en place des honeypots
1. Honeypots faible interaction : AMUN La mise en place de
honeytrap, honeypot faible interaction prsent dans la section 2,
ncessite
l :
Installation des packages ncessaires :
$ sudo apt-get install python-psyco python-mysqldb
python-psycopg2
-
9
Services Daccs
Installation dAmun :
a. Amun.conf :
Dans le fichier de configuration, nous avons configur toutes les
adresses IP o existe linterface
quAmun peut prendre.
Figure 4 : fichier Amun.conf
b. log-mail.conf
Pour que nous puissions recevoir un email si un nouveau
programme malveillant est dtect, il
faut configurer le fichier log-mail.conf :
Figure 5 : fichier de configuration log-mail.conf
c. Start Amun
On utilise la commande suivante pour mettre en marche Amun :
$ cd ~/src/
$ wget
http://downloads.sourceforge.net/project/amunhoney/amun/amun-
v0.1.9/amun-v0.1.9.tar.gz
$ tar xzvf amun-v0.1.9.tar.gz
$ cd amun/
$ cd /opt/amun/
$ sudo ./amun_server.py
-
10
Services Daccs
Figure 6 : lancement dAmon
Une fois Amon a collect les malwares, ils ont apparu dans le
rpertoire malware/md5sum/ :
2. Honeypot faible attraction : Nepenthes Pour installer
Nepenthes, on excute la commande suivante:
Cette commande permet dinstaller le paquet Nepenthes et tous les
autres paquets ncessaires
Figure 7 : installation de Nepenthes
$ ls -l /opt/amun/malware/md5sum/
# apt-get install nepenthes
-
11
Services Daccs
Parmi les avantages de Nepenthes, ils font la collection de
malwares une fois ils ont install sur
le pc. En effet, il ne ncessite pas une configuration bien
spcifique. Le fichier de configuration
par dfaut est suffisant.
Figure 8 : fichier de configuration de nepenthes
Aprs cette tape, on peut accder aux fichiers log o toutes les
informations sont enregistres,
laide de la commande suivante :
Voici ci-dessous un exemple de fichier log :
Figure 9 : fichier log
# gedit /var/log/nepenthes.log
-
12
Services Daccs
3. Comparaison entre Nepenthes et Amun
Nepenthes Amun
Honeypot faible interaction. Honeypot faible interaction.
Collecte automatique de malwares tel que les
bots.
Collecte de malwares se propageant de faon
autonome sur le rseau.
Emulation des vulnrabilits connues. Emulation des vulnrabilits
des services
rseaux connues.
Extraction dinformations partir du payload dexploit puis
tlchargement des malwares essayant dexploiter les vulnrabilits du
rseau.
Tlchargement de payload malicieux afin de
les analyser.
Implment en c++. Implment en python et bas sur XML donc
sa maintenance et son extension de modules
sont plus faciles.
Contient les modules suivants :
Modules de vulnrabilits qui mulent des services existants
comportant des
vulnrabilits.
Modules danalyse du contenu envoy par les modules de
vulnrabilits.
Modules de rcupration, qui utilisent les informations reues par
les modules
danalyse afin de tlcharger le malware.
Modules de chargement qui soccupent de stocker le malware.
Modules de gnration de log qui enregistrent toutes les
informations
concernant lmulation.
Contient les modules suivants :
Modules de vulnrabilits.
Modules danalyse du contenu des payload.
Modules de rcupration.
Modules de tlchargement des malwares.
Soumission, des malwares analyser, vers des sandbox.
Modules de gnration de fichiers log.
4. Honeypots faible interaction : Pentbox. PenTBox est une suite
de scurit qui peut tre utilis dans des missions de tests de
pntration pour effectuer une varit d'activits. Plus prcisment
ces activits comprennent de
hachage de craquage, numration DNS et les tests de rpertoire
HTTP brute de stress force.In
cet article nous allons voir cet outil en action et ce genre de
rsultats que nous pouvons avoir.
Ce qui nous intresse dans ce package cest la possibilit de crer
un honeypot.
-
13
Services Daccs
Lapplication ne ncessite aucune installation :
Figure 10 : package de pentbox
On tape 2 Pour choisir les outils de rseau.
Aprs avoir appuy sur la touche ENTER options d'outils de rseau
s'affiche, on doit
slectionner les options de Honeypot.
Tapez le numro 3 et appuyez sur la touche Entre.
Ensuite, Nous avons configur manuellement le port ouvrir, le
message qui sera affich et le
fichier de sauvegarde.
Figure 11 : configuration de port et de message affich
-
14
Services Daccs
Figure 12 : configuration de fichier de sauvegarde
Depuis une autre machine Backtrack, nous allons essayer daccder
lautre machine avec telnet
sur le port ouvert :
Figure 13 : connexion telnet
On vrifie le fichier log :
Figure 14 : fichier log
5. Rseaux de machine faible interaction Honeyd
Honeyd est un programme open source. Cre et dvelopp par Niels
Provos, Honeyd est
un programme qui sert construire des systmes faible interaction
du plus simple au plus
complexe. Son avantage principal rside dans la possibilit dmuler
un rseau informatique
entier, compos de diffrents systmes dexploitation virtuels qui
sont capables de fournir des
services fictifs.
Une utilisation correcte dun honeypot repose essentiellement sur
la rsolution et la mise
en parallle de trois problmatiques :
-
15
Services Daccs
la surveillance ;
la collecte d'information ;
l'analyse d'information.
Le principe du programme Honeyd est simple : lorsquun intrus
essaie de se connecter
sur ladresse IP du systme mul, Honeyd se fait passer pour ce
systme et commence la
communication avec lordinateur de lintrus.
Figure 15 : application honeyd
a. Configuration
Sous BackTrack5, la configuration de lhoneyd commence par la
cration dun fichier de
configuration.
Figure 16: cration de fichier de configuration de honeyd
-
16
Services Daccs
Aprs on dite le fichier comme ci-dessous puis on
lenregistre.
Fichier 17: Edition de fichier honeyd
Explication du fichier de configuration :
Nous avons cr une machine Windows : Une adresse mac et une
adresse ip statique
sont attribues. Plusieurs ports ont t ouverts. On peut de mme
faon ajouter dautres
machines ayant dautres adresses IP, do la notion de rseaux.
Quand lHoneyd reoit un paquet dirig lune de ces adresses, il
utilisera le profil associ et
rpondra conformment sa configuration.
b. Tests.
Pour tester la configuration, on entre la commande suivante sur
le terminal.
Cette commande permet de dmarrer lhoneyd :
Figure 18 : test de la configuration
$ honyed d f honeyd.conf
-f: permet de prciser le fichier de configuration.
-d: lance en mode interactif.
-
17
Services Daccs
On utilise la commande ping pour vrifier si notre machine Honeyd
(Windows) est bien
fonctionne.
Figure 19 : test de la connexion entre 2 machines
Nous constatons que la machine honeyd est en marche et elle
rpond dune manire correcte
notre ping.
On peut vrifier le fonctionnement de la machine honeyd (si elle
est vivante et si les ports sont
ouverts) laide de la commande suivante :
Figure 20: vrification de fonctionnement de la machine
Honeyd
$nmap 192.168.1.22
-
18
Services Daccs
Remarque :
Nous avons utilis deux machines BackTrack 5, lune pour
linstallation et la
configuration de lhoneyd et lautre pour les tests de ping et de
vrification.
c. Conclusion :
Honeyd est un honeypot trs souple. Mais lHoneyd na pas t conu
pour fonctionner dans
un systme de production mais plutt dans le domaine de la
recherche pour pouvoir amliorer
lavenir la scurit dun rseau.
6. Honeypot moyen attraction : Kojoney Kojoney est un honeypot
moyenne interaction dvelopp en python et bas sur les librairies
rseau Twisted. Il mule un serveur SSH tournant sur un systme o
les utilisateurs ont des mots
de passe faibles.
Certains pirates ont recours des scanneurs qui se connectent sur
des adresses IP prises au
hasard et qui tentent une attaque par brute force sur les mots
de passe, ciblant principalement les
mots de passe par dfaut ou ceux dont lutilisateur na pas fait
preuve dimagination. Combien
dadministrateur cre un compte test avec comme mot de passe test
pour tester le systme et
oublie de lenlever une fois le systme mis en production ?
Le logiciel enregistre dans des fichiers de log toutes les
tentatives qui ont t faites ainsi que
les commandes lances par le pirate ds que celui-ci a trouv un
des comptes utiliss par
Kojoney.
Kojoney est cependant trs loin dtre parfait, un pirate ayant un
niveau correct et quelques
connaissances des systmes UNIX sapercevra immdiatement du
pige.
Techniquement le programme ne fait que boucler sur ce que tape
lutilisateur et y rpondre
quand il en est capable. Par consquent on atteint trs facilement
les limites de ce faux
environnement, par exemple il est impossible de se promener
ailleurs que dans la racine (/) et le
pirate ne peut pas utiliser de programmes interactifs (emacs,
vim, ftp...)....
Aucune configuration nest ncessaire, nous pouvons lancer
directement kojoney. Il va se
mettre en coute sur le port 22 et va enregistrer toutes les
tentatives dans le fichier
/var/log/honeypot.
a. Prparation :
Tout d'abord, puisque nous voulons toujours tre en mesure de se
connecter notre propre
machine, nous devons changer le port SSH par dfaut 22 autre
chose :
Vous devez dcommenter la ligne "# Port 22" et changer "22" ce
que vous voulez (en prendre
note), par exemple 2222.
$ vi /etc/ssh/sshd_config
-
19
Services Daccs
On redmarre le serveur ssh pour que le changement prenne
effet:
A ce stade, on peut dconnecter notre systme et se connecter
l'aide dun nouveau port.
Kojoney ncessite les packages suivants qui peuvent tre installs
par la commande suivante :
b. Tlcharger et installer Kojoney
Le fichier journal cre est situ "/ var / log / honeypot.log".
Kojoney a dj une liste intgre
de nom d'utilisateur et mot de passe, stocke dans / etc /
Kojoney / fake_users". Si quelqu'un
pntre dans un combo trouv dans ce dossier, il a accs. Enfin, le
binaire est stock "/ usr /
bin / kojoneyd".
7. Honeypot haute attraction : Honeynet Honeynet est un exemple
de high-interaction honeypot. Honeynet n'est une solution
logicielle
que l'on installe sur un ordinateur. Au lieu de cela, honeynet
est une architecture, une entit du rseau
des ordinateurs construits pour tre attaqu. L'ide est de
proposer une architecture qui cre un rseau
contrl au niveau o tous les activits sont contrles et
captures.
Dans le rseau on met des ordinateurs intentionnels, ce sont les
ordinateurs rels qui lancent
des applications rels. L'attaquant trouve, attaque, et entre
dans les systmes proposs. Quand ils
fonts cela, ils ne prennent pas de conscience d'tre dans
Honeynet. Toutes ses activits sont captures
sans aucune connaissance. Cela est fait par linsrer des modules
dans le noyau du systme victime
qui capture tous les actions des attaquants. En mme temps,
l'honeynet contrle les activits des
attaquants. Il le fait en utilisant un Honeywall qui dtourne le
trafic vers un systme victime, et
contrle le trafic sortie en utilisant la technologie de
prdiction des instructions. Cela donnera aux
attaquants une flexibilit dans l'interaction avec le systme
victime, mais interdire laccs ay non-
honeynet systme.
$ /etc/init.d/sshd restart
$ yum install gcc python python-devel
$ cd /tmp
$wget
http://dfn.dl.sourceforge.net/project/kojoney/kojon
ey-0.0.4.2.tar.gz
$ tar -xvf kojoney-0.0.4.2.tar.gz
$ cd /tmp/kojoney
$ sh INSTALL.sh
$ /etc/init.d/kojoney start
-
20
Services Daccs
L'exemple du dploiement de honeynet est dans la figure
suivante:
Figure 21 : dploiement de honeynet
IV. Dtection des honeypots
Un honeypot est ractif et rpond aux requtes du pirate. De plus
la ractivit, dans le cas
des honeypots forte interaction, est totale puisque le pirate la
main mise sur un vritable
systme gr de faon, suppos, inaperue de lextrieur par un bonhomme
qui fait de la
scurit. Malheureusement, comme tout systme informatique, il
possde des faiblesses que cette
section va tenter dillustrer.
Pour quil soit le plus attractif possible, un honeypot doit tre
indtectable par un pirate.
En effet, la mise en place de pots de miel sest rpandue dans les
entreprises et les pirates ont mis
en place des techniques permettant de dtecter leur prsence.
Cette sous-section dcrit plusieurs
mthodes qui auraient pu tre mise en place par un pirate pour
sapercevoir quil est dans un
rseau leurr.
Commenons avec les pots de miel faible et moyenne interaction
qui sont faciles dtecter
pour un humain, le camouflage ntant pas une priorit dans le sens
o ces honeypots sont
destins piger les programmes automatiss tels que les vers ou les
mass rooter plutt que les
pirates.
-
21
Services Daccs
Par exemple :
Nepenthes
La dtection de nepenthes peut se faire en essayant dexploiter
deux failles touchant deux
versions de Windows diffrentes, si les deux russissent alors il
est fort probable quun
nepenthes se cache derrire la machine.
Kojoney
La dtection de Kojoney peut se faire en jouant avec des
caractres spciaux tels que le
C ou le D qui dans le read() de python nont pas la mme attitude
que dans le read() du vrai
serveur ssh. En plus de ces diverses anomalies dans
linterprteur, on peut galement visualiser
la clef publique envoye par le serveur ssh pour dtecter un
kojoney sachant quil utilise toujours
la mme clef.
-
22
Services Daccs
V. Conclusion :
travers ce projet, tous les intrts que peuvent prsenter la mise
en place de pots de
miel dans un rseau informatique ont t mis en avant. Les pots de
miel sont les outils idaux
pour tudier le comportement, les tactiques et les motivations
des pirates informatiques et ainsi
se prmunir efficacement des attaques de ces derniers.
Il faut cependant garder lesprit que les honeypots visent
attirer les pirates sur son
rseau informatique et que la dcision de dployer ce genre de
rseau leurr ne doit pas tre prise
la lgre. Les objectifs doivent tre clairement dfinis car ils
reprsentent un outil trs efficace,
leurs configurations et leurs manipulations restent trs dlicates
et une erreur peut se rpercuter
sur le rseau de production.
Mme si les pots de miel sont encore assez jeunes et rservs aux
experts de la scurit,
ils reprsentent dores et dj une technologie trs prometteuse dans
la lutte contre la
cybercriminalit.