Top Banner
Année Universitaire 2014-2015 3ème année cycle d’ingénieurs Génie Réseaux et Télécommunications RAPPORT PROJET SUR HONEYPOTS - POT DE MIEL- Réalisé Par : Imane MSADFA Latifa JABER Responsable : Mr : Youness ELEDRISSI
17
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript

HoneyPots -Pot De Miel-

,

Rapport De Projet Anne Universitaire 2014-2015

Responsable:Mr: Youness ELEDRISSI hghghghKHAMLICHIRalis Par: Imane MSADFA Latifa JABERRapport Projet Sur HoneyPots -Pot De Miel-

Table Des Matires

Aucune entre de table des matires n'a t trouve.

1. Introduction

Dans le domaine de scurit des systmes informatiques, il est essentiel danalyser les techniques employes par les hackers, et de savoir leurs tactiques, dtudier leurs motivations, et ainsi leur profil. Le pot de miel est une bonne solution pour ces problmes.

1.1 Dfinition Honeypot, ou Pot de Miel : une ressource d'un rseau qui accrot la scurit en tant mis l'preuve, attaque ou effectivement compromise. Ce leurre permet de rcuprer des informations des mthodes, tactiques et/ou outils des pirates.

Le fonctionnement de honeypot Un modle typique dun honeypot inclut une machine non-production qui est mise aprs un pare-feu et au sein des serveurs de production (DMZ Dmilitarisions Zone , toutes les machines dans cette zone correspondent des IPs publics par NAT Network Address Translation ). Lide est trs simple, parce quun honeypot est un systme de non-production , donc nimporte trafic dentre ou de sortie est considr que ce honeypot a t attaqu ou compromis. En utilisant cette stratgie, le nombre des informations journalises par honeypot trs peu mais trs utile. Cest facile dtudier des attaques visant notre rseau.

Figure 1 Une architecture de honeypot le plus simple

1.2 Classification des Pots de Miel

On a deux manires pour classifier des Honeypots:

En destinant au type dutilisateur, on a deux types de Honeypot:

Honeypot de production Et Honeypot de recherche.Honeypot de production (par exemple : BOF, Specter, Honeyd) est suivant utilis par les organisations de commerce. Ce sont les gens qui ne veulent que dtecter les attaques qui viennent de lextrieur et liminer la capacit des attaques le plus possible. En outre, honeypot de recherche (Par exemple : Honeynet Project) est suivant utilis par les organisations de recherche qui veulent tracer les activits des pirates et les organisations de recherche qui veulent tracer les activits des pirates et les tudier.

Concernant le niveau dinteraction entre les victimes et les pirates, honeypot est divise dans trois types : basse, moyenne, et haute interaction. Les honeypots dans la catgorie basse interaction ne fonctionne que pour dtecter intrusions, notifier et suivant rarement ragissent aux pirates, ces Honeypots (Par exemple : BOF, Specter, Honeyd) ne simulent que des services vulnrables, pas donner un OS rel. Parmi ces Honeypots, uniquement, le Honeyd qui peut ragir par attirer les attaques, comme la signification du mot Honeypot . Les Honeypots de type moyenne interaction supportent plus de capacit de modifier pour sadapter nos besoins, donc il a plus de capacit de ragir aux pirates. Les Honeypots de type haute interaction , dans le cas de Honeynet Project, il fournit une solution de scurit globale pour un rseau en simulant un rseau vulnrable entier.

2 . tude des pots de miel 2.1 Pot de Miel Faible Interaction 2.1 .1 Honneyd Introduction Honeyd est un pot de miel libre de type basse interaction , c'est--dire pas de systme dexploitation rel pour permettre aux hackers dacqurir laccs de dans, il ne simule que des services. Lors quil dcouvre un effort de connexion un IP, il falsifie cette adresse IP mais pas offrir de systme rel et rpond au pirate avec cette adresse feint. Ds ce moment l, il communique au hacker comme une victime. Cest la signification principale du mot honeypot . En effet, un Honeyd peut surveiller des milles dadresse IP et simuler les IPs au niveau de IP stack . Dailleurs, Honeyd peut simuler des systmes dexploitation diffrents simultanment.Techniques surveillant des IPs Pour surveiller des IPs non distribus dans le rseau local, Honeyd applique un des deux techniques disponibles : blackholing et ARP spoofing . Blackholing.Avec la technique blackholing , Honeypot est mis dans un rseau non-production , et tous les IPs dans la classe IP du rseau sont configures dans le routeur pour re-expdier les trafics du rseau vers le Honeypot :

ip route 10.0.0.0 255.0.0.0 10.0.0.1 La o : 10.0.0.1 est un honeypot Figure 2 Le rseau dmontre la technique blackholing

ARP spoofing La technique ARP spoofing est effectue en utilisant un outil Arpd . La fonction de Arpd est dcouter les paquets qui traversent dans le rseau, de vrifier ladresse IP de destinateur dans les paquets si cette adresse est distribue ou non. Pour faire a, Arpd envoie un paquet ARP who-is (Par exemple : arp host 192.168.1.100) correspondant cet IP, si pas de rponse, c'est--dire cet IP est une adresse non distribue. Donc, il assigne cet IP son adresse MAC (Par exemple : arp -s 192.168.1.100 00:10:4B:70:14:E7), et annonce au routeur. Ds ce moment la, il a encore une autre adresse IP, et communique lattaqueur avec le support du routeur (par le tableau NAT). Fonctionnement Rseau virtuel dans honeyd

Figure 3 Honyed reoit des trafics pour honeypots virtuels en basant sur un proxy arp et simule au niveau ip stack pour les systmes dexploitation diffrente

Dans cette configuration du rseau ci-dessus, honeyd est install sur la machine 10.0.0.2 (souvent sur une machine dUnix , la version sous WINDOWS est en cours de dvelopper), avec le support dun routeur virtuel 10.0.0.1 qui est configur dans le fichier de configuration du honeyd, ce routeur va diriger les requtes aux IPs non distribus 10.0.1.101-10.0.1.103 vers les machines virtuelles qui sont dfinis selon les templates dans lefichier de configuration du honeyd.

Architecture globale du honeyd

Figure 4 Schma illustre larchitecture de honeyd.

Des paquets dentre sont expdis un traiteur de protocole. Pour TCP et UDP, les services configurs reoivent des nouvelles donnes et envoient des rponses sil est ncessaire. Tous les paquets de sortie sont modifis par le moteur de personnalit (pour chaque systme dexploitation) pour imiter le comportement de la configuration de rseau. Le routeur (en cyan) est une option et utilis si Honeyd simule une topologie de rseau. Composants du honeyd Hte virtuel - Personnalit : utiliser des empreints partir du fichier nmap ou xprobe. - Ports : dfinition de ractions sur chaque port et son protocole. - Services : dfinition des scripts combins sur chaque port et personnaliser des paramtres pour chaque script. pour chaque script. Rseau virtuel - Point dentre du rseau virtuel (ou routeur dentre) : Deux sources choisies, lune cest ladresse IP de la machine sur laquelle on installe honeyd ou lautre cest un IP virtuel gr par arpd (un daemon qui rpond les paquets arp who is ). - Sous rseau : ce sont des plages dIPs accessibles, si on veut configurer un sous rseau piopioiipioioipoiohirarchique, on peut ajouter plus de routeurs virtuels et les rseaux combins hkhjhjhjhjhjhjhjhjavec ceux.

- Liaison entre les htes et leurs @IPs : chaque hte est combin avec une adresse IP par la dfinition bind , la suite. Services - Scripts feints : Ce sont les scripts crits par le but personnel de chaque personne, ces scripts simulent un peu des ractions pour chaque type de service (par exemple : telnet, ssh ou iis serveur). Leur but est de capturer quelques informations dans les requtes du pirate (le plus simple est le compte ou le mot de passe ou les PAYLOADs utiliss).- Proxy : pour bien analyser les activits du pirate, une autre faon est lexpdition dune attaque vers une machine rel (par exemple : avec le protocole chiffr SSH, on utilise un sniffeur ou modifie le noyau pour capturer des donnes avant quelles sont chiffrs pour envoyer au pirate). Un exemple du fichier de configuration du honeyd gnr par outil RandomNet:

.

Contrle des flux des requtesUne fois que le Honeypot reconnait une attaque, il va dmarrer un service correspondant le port de la requete dj dfinie dans son fichier de configuration.Ce service soccupe de communiquer avec lattaqueur, tracer des activits malicieuses par syslog (le log du systme dexploitation) ou par le script dans ce service.Chaque service est combin avec son Template dun systme dexpoitation.

Create Windowsset Windows personality "Microsoft Windows XP Professional SP1" add windows tcp port 80 "perl /etc/honeyd/scripts/iis/main.pl"add windows tcp port 23 proxy real-server.tracking-hackers.com:23# bind specific IP addresses to specific templatesbind 192.168.1.200 windows

Figure5: Un exemple dun template WINDOWS sous HoneydLes services feints, en effet, on peut implmenter dans nimporte langage de programmation , et le scnario dpend du but et du niveau de trace ncessaireDonc, on peut personnaliser ces scripts par dfaut pour sadapter les exigences spcifiques. De plus, une autre caractristique est le proxy dans Honeyd. Un proxy permet dune connexion partir du pirate dtre dirige vers un autre systme rel qui soccupe danalyser plus dtaill les activits du pirate. Par exemple, une attaque sous le protocole SSH Honeypot est dirige vers unemachine relle pour analyser facilement plus dtaill des activits en utilisant uoutil sniffeur (Snort, par exemple).

Figure6:Un rseau illustre la combinaison entre honeyd et Snort

Acquisition des informationsHoneyd est concu pour collecter des informations partir de deux ressources:Syslogd et un sniffeur. En gnral, une fois ayant une communication un des honeypots, elle est suspecte comme une attaque. Donc, les donnes dans syslogd sur la xcbvddmachine host sont les traces des activits malicieuses du pirate.

2.1.2 Amun Introduction Fonctionnement2.1.3 Nepenthes Introduction Fonctionnement2.1.4 Pentbox Introduction Fonctionnement

2.2 Pot de Miel Moyenne Interaction 2.2.1 Kojoney Kojoney est un honeypot moyenne interaction dvelopp en python et bas sur les librairies rseau Twisted. Il mule un serveur SSH tournant sur un systme o les utilisateurs ont des mots de passe faibles. Certains pirates ont recours des scanneurs qui se connectent sur des adresses IP prises au hasard et qui tentent une attaque par brute force sur les mots de passe, ciblant principalement les mots de passe par dfaut ou ceux dont lutilisateur na pas fait preuve dimagination. Combien dadministrateur cre un compte test avec comme mot de passe test pour tester le systme et oublie de lenlever une fois le systme mis en production ? Le logiciel enregistre dans des fichiers de log toutes les tentatives qui ont t faites ainsi que les commandes lances par le pirate ds que celui-ci a trouv un des comptes utiliss par Kojoney. Kojoney est cependant trs loin dtre parfait, un pirate ayant un niveau correct et quelques connaissances des systmes UNIX sapercevra immdiatement du pige. Techniquement le programme ne fait que boucler sur ce que tape lutilisateur et y rpondre quand il en est capable. Par consquent on atteint trs facilement les limites de ce faux environnement, par exemple il est impossible de se promener ailleurs que dans la racine (/) et le pirate ne peut pas utiliser de programmes interactifs (emacs, vim, ftp...).... Aucune configuration nest ncessaire, nous pouvons lancer directement kojoney. Il va se mettre en coute sur le port 22 et va enregistrer toutes les tentatives dans le fichier /var/log/honeypot.2.3 Pot de Miel Forte Interaction 2.3.1 Honeynet Honeynet est un grand projet pour rechercher des attaques qui viennent de la communaut des pirates. Lobjectif du projet est de rechercher des outils, des tactiques et des motivations des hackers. Diffrer aux autres solutions de pot dmiel qui nmulent que des services ou modifient le noyau dun seul systme. Avec Honeynet, aucune simulation, aucune modification, autrement dit, il fourndes environnements rels comme Solaris, WINDOWS XP, Cisco etc .. avec leurs services originales.2.3.2 Introduction Honeynet, ce nest pas un logiciel en paquetage, elle est une architecture dont lide ressemble un seau ou les poissons sont dans le seau [2]. Honeynet est le seau et les attaques sont des poissons. Ladministrateur observe des activitsmalicieuses par les outils intgrs pour accomplir trois exigences suivantes : contrler des donnes, capturer des donnes et collectionner des donnes (latroisime pour les honeynets distribus). Contrler des donnes est de contrledes activits du pirate, dassurer quil ne peut pas compromettre des autres non-honey-systmes. Capturer les donnes pour observer ce qui sest pass dans le honeynet. Le projet Honeynet cre un document dfinition, exigences, et standard pour prsenter de ltape

Ltape de construire un Honeynet enutilisant des outils disponibles (Snort, syslogd etc.).2.3.3 Fonctionnement Honeypot projet a pass 2 architectures comprises comme Gen-I (la premire gnration en 1999) et Gen-II(la deuxime en 2001).Gnration I

Figure 8 Le schma du rseau de Gen I

Modle:Comme les autres pots de miel, Gen I met un pare-feu entre le rseau local et lextrieur. Gen I spare le rseau de Honeynet et le rseau de production pour la scurit. Toutes les donnes qui viennent ou sortent doivent traverser le pare-feu. Dans cette architecture, le pare-feu joue un rle de contrle des donnes. Les honeypots des systmes dexploitation diffrentes capturent les donnes envoyes par le pare-feu.Avantages: Gen1 a deux avantages: il capture une grande information en dtail par un systme IDS et ainsi les ainsi les attaques inconnus.Dsavantage: Limitation contrler et empcher le hacker avanc de compromettre les autres systmes (il faut accepter quelques connexions de sortie pour viter la suspicion du hacker). Ce nest pas difficile un hacker avanc de trouver quil soit dans un pot de miel ( cause du pare-feu, le hacker peut vrifier par la commande ping, si a TTL dcrment) et pas beaucoup de valeur pour leurrer des attaques.

Gnration II

Figure 9 Le schma du rseau de Gen II

Modle:Pour rsoudre la limitation de Gen I (exactement cest la limitation des connexions de sortie), Gen II utilise un senseur Honeynet. Le senseur est la combinaison entre un pare-feu et un systme IDS, videmment, plus facilement de le dployer. Dans ce cas l, le senseur joue un rle comme un pont entre deux rseaux (lun Honeynet et lun de production). Avec ce senseur, le hacker ne peut pas percevoir quiil est dans un honeypot (par la commande ping. Une grande diffrence cest que au point de troisime couche (IP), honeynet est une partie du rseau de production. En effet, au deuxime couche -lien de donne-, le rseau est divis par la partie de production de production et de honeynet.

3. Exprimentations sur HoneyPots: 3.1 Honeyd[2]