Dossier de Sécurité : LES HONEYPOTS

Transcription

1 SARNA Hélène Janvier 2004 WALLYN Laure PERRIN Xavier DE CASTRO Emmanuel THIRIOT Samuel WESTRELIN Gabriel ROMBOUTS Julien LEROY Aurélie Dossier de Sécurité : LES HONEYPOTS Version 1.4 (15/01/04)

2 SOMMAIRE INTRODUCTION... 4 Partie1 PRESENTATION... 6 I. Petit Historique... 7 II. Fonctionnement des honeypots... 7 A. Les honeypots à faible interaction... 7 B. Les honeypots à forte interaction Les honeynets... 8 Le contrôle de données... 8 La capture de données... 9 Les honeynets virtuels... 9 III. Intérêts et contraintes...10 A. Intérêts...10 B. Inconvénients...10 Partie2 PRESENTATION DES OUTILS DISPONIBLES...11 I. UML...12 II. ManTrap...13 A. But...13 B. Intérêt...13 III. Snort_inline...13 A. But...13 B. Intérêt...13 IV. Bait and Switch...13 A. But...13 B. Intérêt...13 V. HoneyTokens...14 A. But...14 B. Intérêt...14 VI. Wireless Honeypots...14 A. But...14 B. Intérêt...14 Partie3 INSTALLATION SOUS LINUX ET WINDOWS...15 I. Honey et Windows...16 A. Back Officer Friendly dir BOF...16 La console...16 Différence entre Simulation et écoute :...17 Simulations :...17 Conclusion...20 B. Specter...21 Présentation...21 Les principaux inconvénients...21 Les principaux avantages...21 Les principaux écrans...23 II. Honeypots et Linux...26 A. Présentation de «HONEYD», le logiciel sous Linux...26 B. Tests...26 Sans configuration...26 Avec une configuration «basique»...27 Tests plus avancés avec la config précédente

3 Config encore plus avancée : avec une machine virtuelle...29 C. Conclusion...31 Partie4 LES PROJETS «HONEYPOTS»...32 I. Le projet HONEYNET...33 II. La Honeynet Research Alliance...34 III. Le projet HOSUS (HONEYPOT SURVEILLANCE SYSTEM)...34 IV. D autres projets...34 Partie5 GLOSSAIRE...35 Partie6 CONCLUSION

4 INTRODUCTION 4

5 Dans le cadre de notre projet de sécurité, nous avons choisi de nous intéresser aux honeypots ou «pots à miel». Un honeypot est une ressource de l architecture de sécurité dont le but est de se faire passer pour une cible réelle afin d être sondée, attaquée ou compromise. Autrement dit, les honeypots sont des machines de production destinées à attirer les pirates. Ceux-ci, persuadés d avoir pénétré le réseau ont tous leurs faits et gestes surveillés. Les honeypots font de plus en plus d adeptes pour sécuriser leurs environnements. Dans une première partie, nous vous présenterons le fonctionnement, les avantages et les inconvénients des honeypots. Dans une seconde partie, nous vous présenterons brièvement les outils disponibles. Ensuite, en troisième partie, nous expliquerons les installations que nous avons effectués sous Linux et Windows et terminerons par une brève présentation des projets concernant les honeypots. 5

6 Partie1 PRESENTATION 6

7 I. Petit Historique Le principe des honeypots est né en 1986 lorsqu un administrateur système cherchait à comprendre pourquoi il avait 75 % de perte de données au niveau de la comptabilité. Il découvrit un pirate informatique sérieusement ancré dans le réseau qui espionnait et revendait ses informations. Il décida alors de fabriquer de faux fichiers et réussit ainsi à leurrer l attaquant pendant un certain temps, temps nécessaire pour le localiser et le faire arrêter. Depuis, de nombreux outils et études ont été créées sur ce thème et les honeypots sont en passe de devenir des outils faisant partie de la panoplie du parfait ingénieur sécurité. En effet, leurrant les agresseurs, les honeypots font gagner du temps aux défenseurs, leur dévoilant les techniques utilisées par les attaquants et les objectifs des ennemis. II. Fonctionnement des honeypots A l instar des machines usuelles, les honeypots sont des systèmes conçus pour être scannés, attaqués et compromis. Les honeypots sont très variés et revêtent différentes formes. On en distingue deux classes suivant l interaction qu ils offrent aux attaquants. A. Les honeypots à faible interaction. Ce sont les honeypots les plus simples. Leur but est de capturer de l information sans offrir beaucoup de privilèges à l agresseur, et donc, de risques potentiels puisque l attaquant est très limité. Un exemple très simple est «netcat», qui écoute un port spécifique et logue toutes les commandes entrées. Cependant, des applications plus développées émulent de vrais services destinés à tromper les pirates, comme par exemple «iisemulator» ou encore «honeyd». Néanmoins, afin d obtenir des résultats plus exploitables, il faut utiliser des honeypots à forte interaction. 7

8 B. Les honeypots à forte interaction. Les honeynets. On compte dans ce cas, proposer le vrai service sur une machine plus ou moins sécurisée. Néanmoins, les risques sont très nombreux puisque la machine est très vulnérable. Il faut donc s assurer que l architecture sous-jacente soit bien sécurisée. Les honeynets reposent sur deux principes : le contrôle de données et la capture de données. Le contrôle de données. Un honeypot doit pouvoir accepter toutes les connexions entrantes, mais le trafic sortant doit être surveillé pour éviter les attaques vers l extérieur. Une solution intéressante est l architecture de première génération. L élément de contrôle est un pare-feu de niveau 3, autorisant toutes les communications entrantes mais limitant le connexions sortantes en fonction du temps. Linux Windows 2000 Switch Routeur Par e- feu INTERNET IDS Serveur de log Serveur de Log - Alertes Architecture de première génération 8

9 La seconde solution est l architecture de seconde génération. Le pare-feu n est plus de niveau 3 mais un bridge de niveau 2. celui-ci est difficilement détectable puisqu il n a pas d adresse IP. On contrôle alors le flot sortant (les paquets peuvent être modifiés à la volée pour devenir inoffensifs). Interface de niveau 2 Honey Pots Honey Pots ******* Par e- feu / brid ge ******* Produ ction Produ ction Honey Pots Produ ction INTERNET Architecture de seconde génération La capture de données Le premier outil de capture est le pare-feu. Il permet de loguer toutes les connexions venant de l extérieur comme de l intérieur. Un autre moyen de capture est de mettre en place un système de Détection d Intrusion IDS. Pour récupérer les données (logs), on utilise une autre machine distante. Les honeynets virtuels Ce sont un moyen de recréer une architecture de honeypot sur une seule machine. Cette dernière est à la fois passerelle, IDS et serveur de log distant. 9

10 III. Intérêts et contraintes Etablissons dans cette partie les avantages et les inconvénients des honeypots. A. Intérêts Les honeypots ne sont pas une solution que l on place pour résoudre un problème mais un outil à exploiter. Le but des honeypots est de capturer un pirate et/ou de l occuper un certain temps, temps pendant lequel il ne s attaquera pas aux vrais systèmes de production. Un honeypot peut être plus spécifique, comme le montre l exemple de la lutte contre le spam en se faisant passer pour de relais ouverts. Ce sont des alliés très efficaces pour les IDS et sont des solutions rapides à mettre en place. Ils peuvent permettre la détection des faux-positifs. Le coût en terme ressources matérielles est négligeable. Enfin, utiliser un honeypot au sein d un réseau interne d une entreprise se révèle être un outil redoutable pour la détection des actes de malveillance provenant de l intérieur. B. Inconvénients Les honeypots doivent simuler des services et des systèmes utilisés par les vrais systèmes de production. Le faux système peut être mis en place à côté des serveurs de production. Le honeypot doit être attractif afin de susciter l intérêt, sinon, il sera ignoré et donc inutile. La charge de travail liée à l exploitation des honeypots dépend directement du niveau d interaction du honeypot, plus celle-ci est forte, plus la charge de travail sera importante.

11 Partie2 PRESENTATION DES OUTILS DISPONIBLES 11

12 I. UML UML (User Mode Linux) permet d avoir à sa disposition une machine virtuelle tournant sur Linux. L intérêt est de pouvoir tester sans risque de nouveaux programmes ou même un nouveau noyau, puisque tout ce qu on effectuera sur l UML, lancé en tant qu utilisateur sans privilèges particuliers, ne pourra endommager la machine de départ. UML a été conçu tout d abord pour les programmeurs et utilisateurs avancés de Linux qui voulaient en toute sécurité développer de nouvelles versions du noyau et les expérimenter sans devoir réinstaller une nouvelle distribution à chaque fois. Il permet de créer une machine virtuelle avec les paramètres matériels et logiciels quelconques, avec accès aux composants sélectionnés d une machine qui existe vraiment. Le système des fichiers UML est contenu dans un seul fichier du système réel. De cela, tous les dommages qui ont lieu dans le monde virtuel ne sont pas dangereux. En utilisant UML comme honeypot, le but est d attirer les pirates et de les faire venir sur notre machine virtuelle tout en leur faisant croire qu ils se trouvent sur une machine réelle. On espère ainsi découvrir de nouvelles techniques de piratage qui pourraient être mises en oeuvre sur des ordinateurs où l issue serait plus critique. L accent sera mis sur les différents aspects qui pourraient trahir la virtualité de l UML sur des aspects système et réseau d une part, et voir comment tracer les attaques d un assaillant d autre part. Il faut configurer UML de façon à ce qu il soit vulnérable afin d attirer le pirate, sans toutes fois exagérer afin que le pirate ne se rende pas compte de la supercherie. Le paramétrage de UML constitue la partie la plus longue et la plus importante de l installation. Il est important d insister sur le fait que le réseau doit paraître comme le plus réaliste possible, donnant parfois l accès à certaines ressources (toujours virtuelles) ou faisant apparaître certaines failles pour ne pas paraître trop louche. Voici un schéma représentant le principe de fonctionnement. Réseau Serveur Reproduction virtuelle du réseau Serveur virtuel sur UML Pirate Le pirate qui essaie de se connecter au serveur et qui est reconnu comme tel est envoyé sur le honeypot UML qui reproduit le réseau de l entreprise afin de voir les intentions du pirate, et sa façon d agir. 12

13 II. ManTrap A. But ManTrap est un produit commercial permettant de créer des honeypots avec forte interaction. B. Intérêt Il s appuie sur la création de différentes cages systèmes séparées et hébergées sur une seule machine. Il permet de simuler un trafic entre utilisateurs afin de faire croire à un attaquant qu il est réellement sur une vraie machine ou encore donne la possibilité de couper le système en cas de détection de nouvelles attaques. III. Snort_inline A. But Outil puissant qui permet de tirer parti de la base de signatures et des modules d analyse des protocoles des couches applicatives d un IDS afin de rajouter au parefeu des fonctionnalités de type IPS (Intrusion Prevention System). B. Intérêt L utilisation de Snort_inline est bien adaptée pour la surveillance d un honeypot car peu de connexions sortantes. En revanche, le traitement des paquets dans l espace utilisateur étant beaucoup plus lent, il faudra tenir compte de la performance. IV. Bait and Switch A. But Le projet Bait & Switch est un concept qui utilise les honeypots comme des moyens ne permettant pas uniquement de faire de la détection et de la surveillance mais également de la protection. B. Intérêt Bait & Switch propose un système intermédiaire jouant le rôle de passerelle antre l extérieur et le réseau à protéger. Cette passerelle a la possibilité de repérer tout trafic malveillant par le biais de techniques de détection d intrusion. A chaque tentative d intrusion constatée, la pile IP la redirige vers le faux système. Cependant, des efforts sont encore à faire pour améliorer la furtivité du honeypot (facilement détectable par des pirates initiés).

14 Néanmoins, ce concept est très apprécié de part sa nouveauté :en plus de jouer le rôle d un IDS regardant et ana lysant, il permet également d interdire à la volée des flux comme le ferait un bon firewall. V. HoneyTokens A. But Ce concept est très simple. Il a pour but de mettre en place des ressources informatiques qui n attentent que d être consultées. La moindre tentative d accès sera considérée comme une alerte de sécurité. B. Intérêt C est un concept simple et facile à mettre en place. Cependant, il ne sert qu à savoir si une intrusion a eu lieu. VI. Wireless Honeypots A. But Leur but est la sécurisation des réseaux sans fil. B. Intérêt Les moyens actuels de sécurisation d un point d accès Wi-Fi, filtrage d adresse MAC ou WEP, n empêchent pas les pirates de s y connecter. Pour y remédier, soit on ajoutes des mécanismes de sécurité, indépendants de la technologie sans fil, soit on essaie de leurrer les pirates. 14

15 Partie3 INSTALLATION SOUS LINUX ET WINDOWS 15

16 I. Honey et Windows A. Back Officer Friendly dir BOF BOF est un freeware créé par Network Flight Recorder (NFR). Il permet de détecter un pirate et de lui simuler une réponse et il conserve toutes les requêtes des clients. Pour obtenir BOF, il suffit de le télécharger le fichier back-officer-friendly.tar sur le site X. Ce fichier contient un exécutable nfrbofl.exe qui installe après quelques clique de confirmation BOF. Pour le démarrer, il faut cliquer sur l agent de police noir de la barre des tâches suivante : Un clique droit sur l icône te donne : Pour ouvrir la console Pour simuler les serveurs (je vais expliquer en dessous) Pour quitter La console Elle s obtient : soit par un double clic gauche sur l icône soit par Details dans le menu que l on vient de voir. Elle ressemble à : Toujours pour demander de simuler les serveurs Coche : écoute sur le port. 16

17 Différence entre Simulation et écoute : Quand on coche un serveur ( Listen for Telnet par exemple ), cela n ouvre que le port associé et signale dans la console (expliquer plus loin ) que quelqu un (l IP est signale) essaie de se connecter à ce service. Mais cela ne retourne rien à la personne ( pirate éventuel ). Maintenant, si en plus on coche Fake replies, tu demande a BOF de répondre comme si le service (exemple telnet) était réellement lancé. Le pirate est donc piégé. Dans le cas d un telnet ou d un pop3, BOF affiche les login et mot de passe saisis. Simulations : Au départ : 17

18 TELNET : On coche Fake replies et listen for telnet dans la console BOF Si on tente de se connecter au serveur telnet. On peut voir : IP du pirate login utilise pour l attaque password On remarque que BOF demande bien (comme pour un vrai telnet) le login et le mot de passe mais que ceux-ci sont toujours refusés. 18

19 HTTP: On coche Fake replies et listen for http dans la console BOF IP du pirate serveur requête au Le serveur renvoie tjs 401 Authorization failed 19

20 Un dernier exemple : Incluant le serveur smtp POP3 Conclusion BOF n est pas très furtif et complet mais il est un honeypot facile à installer et à utiliser. C est le candidat idéal pour les débutants 20

21 B. Specter Présentation Specter est un logiciel commercial de la société Suisse NetSec ( Nous ne ferons qu une présentation du logiciel et les commentaires rapportés car la licence coûte 900 euros et le coût matériel est estimé à 2000 euros. Ce honeypot de production est toutefois l un des moins cher pour les entreprises et son installation et sa configuration ne nécessite pas trop de connaissances. Son principe est de simuler un OS et d émuler 14 services (SMTP, FTP, TELNET, FINGER, POP3, IMAP4, HTTP, SSH, DNS, SUN-RPC, NETBUS, SUB-7, BO2K, Generic Trap) sur leur ports habituels. Il s installe facilement en le téléchargeant par (5 MO) mais son utilisation doit être confié à un technicien. Attaques et intrusions peuvent être signalé par SMS ou s et sa gestion peut se faire à distance. Son interface graphique est la plus ergonomique possible : elle permet de configurer rapidement le pot de miel, de mettre en place les services souhaités (faux serveurs TELNET, HTTP, SMTP) ou de consulter les traces d attaques (identité, liste des opérations effectuées et domaine (DNS et IP). Les attaques sont analysées grâce aux collectes des différents honeypot mais le suivi d un pirate ne dépasse pas 15 rebonds d IP. Les principaux inconvénients Il ne se substitue pas à la pile IP native : Si specteur simule un serveur linux, un simple logiciel téléchargeable nmap, permet de connaître sur la pile que le serveur est installé sous windows. Il faut donc simuler la machine hôte (celle qui héberge le pot de miel) car quelques soit l OS simulé, l attaquant voit l OS de la machine support Le service SMTP est mal simulé: les commandes EXPN et VRFY renvoient toutes les 2 des messages d erreur. (Le logiciel languard permet en 3min à l attaquant de découvrir à l aide de ces commandes que c est un honeypot) Simule un seul système d exploitation à la fois Ne veille que des ports programmés. Les principaux avantages La simulation des services TELNET et HTTP est très bien supportée. Un test avec NMAP permet d obtenir la liste des ports ouverts et avec whisker on scanne les faiblesses du serveur. Déploiement rapide Excellente capacité de détection Format des logs très interprété et aisément exploitable Probabilité de compromission faible.

22 Specter ne donne pas une meilleure sécurité. Il convient dans un cadre de sécurisation d un site opérationnel en étant déployer à 2 ou 3 endroits du réseau pour faire office de sentinelle. 22

23 Les principaux écrans Annexe1 : Interface graphique de Specter 23

24 Annexe 2 : Liste des log de Specter 24

25 Annexe 3 : Liste des incidents rencontrés par Specter 25

26 II. Honeypots et Linux A. Présentation de «HONEYD», le logiciel sous Linux Le démon honeyd (Niels Provos) est capable de simuler des machines et des réseaux virtuels afin de leurrer les pirates. Il peut en effet héberger jusqu'à hôtes virtuels! Cela permet donc a l utilisateur de créer de vastes architectures réseau complexes et longues à explorer. Toutes ces hôtes peuvent être configurés à différents niveaux afin d accroître le réalisme d un tel leurre : systèmes d exploitations services (serveur web, mail, TCP / UDP ) Avec ce logiciel, on peut aussi créer des réseaux complets, c'est-à-dire avec la notion supplémentaire de «routage» : création de sous réseaux engendrant sous réseaux L émulation de «lenteur» ou de «pertes des données» est ainsi possible. Nous testerons donc ce logiciel gratuit qui est donc orienté vers la simulation de réseaux et systèmes. C est donc un «pot de miel» dite à faible interaction. B. Tests Sans configuration Voici notre configuration utilisée : Un poste «Test» qui est sur le réseau / Un poste «Honey» qui héberge une fausse machine en On lance honeyd sur Honey (le pot de miel) Le fichier de config est vide Voici ce que nous voyons : Honey# honeyd -d -i eth /24 -f config honeyd[1748]: started with -d -i eth0 -f config /24 honeyd[1748]: listening on eth0: ip and (dst net /24) Afin de voir la réaction de notre honeyd, on lance un sniffer sur le réseau (sur l'un ou l'autre des postes) : Test#tcpdump -i eth0 tcpdump: listening on lo Et on fait un «ping» sur la machine Test afin de voir ce qu il y a derrière Honey Test#ping c 1

27 Voici la réaction de la machine Honey : honeyd[1748]: Sending ICMP Echo Reply: > honeyd[1748]: No reverse routing map for honeyd[1748]: No route to Il intercepte le trafic sur le réseau indiqué mais ne peut pas répondre -> normal puisque nous n avons pas fait de fichier de config. Sur le poste Test, on peut constater la bonne transmission des paquets (ping) ping statistics packets transmitted, 0 packets received, 100% packet loss NOUS REMARQUONS QUE SANS FICHIER DE CONFIG, LES RESULTATS RENVOYES SONT NEANT. LE PIRATE NE PEUT DONC PAS S Y PERDRE!!! Avec une configuration «basique» Voici le fichier de config : create default set default personality "Linux (X86)" set default default tcp action reset set default default udp action reset bind default Explications : Il existe une entrée réseau pour une ip On crée un template par défaut (sans config particulière) On indique qu'il existe effectivement une machine sur qui réagira selon le template «default» La personnalité correspond à des modèles de machines prédéfinis (on peut évidemment en définir de nouveaux). Cela permet d'imiter les signatures réseaux des systèmes! Par défaut, on bloque toutes les connections (comportement assez réaliste!) On relance le honeyd pour prendre en compte la nouvelle configuration et on «ping» de nouveau la machine Honey. Voici ce que nous voyons sur la machine Honey : honeyd[1814]: Sending ICMP Echo Reply: > honeyd[1815]: dump reseau > : icmp: echo request (DF) > : icmp: echo reply 27

28 La réaction sur la machine test parle d elle-même : PING ( ): 56 data bytes 64 bytes from : icmp_seq=0 ttl=255 time=2.6 ms ping statistics packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 2.6/2.6/2.6 ms Nous pouvons donc cette fois interroger (par ping) la machine virtuelle. Tests plus avancés avec la config précédente Nous allons scanner les ports de la machine Honey a partir de la machine Test Commande : nmap O st -st : scan par paquets tcp -O : reconnaître le système distant par la signature de réponse Résultat : Starting nmap V. 2.54BETA31 ( ) Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port All 1554 scanned ports on ( ) are: closed Remote OS guesses: Linux Kernel (X86), Linux (X86) Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds On peut remarquer que la commande nmap n'a pas trouve de port ouvert car nous avions tout bloqué. Cela nous signale que la reconnaissance de signature de système sera peu fiable : il a tout de même reconnu le système! Sur la machine Honey, on constate un nombre conséquent de logs qui signalent l'arrivée de connexions et la réponse adaptée : honeyd[1866]: Killing attempted connection: tcp ( : :946) Honeyd bloque toutes les demandes de cette façon. 28

29 Config encore plus avancée : avec une machine virtuelle Voici le fichier de config qui représente un Windows 2000 avec quelques services... create win2k set win2k personality "Windows 2000 Professional, Build 2128" set win2k uptime add win2k tcp port 80 "sh scripts/web.sh" add win2k tcp port 21 "sh scripts/ftp.sh $ipsrc $dport" set win2k default tcp action reset bind win2k Comme pour les config précédente, cette machine est «pingable» Test#ping PING ( ): 56 data bytes 64 bytes from : icmp_seq=0 ttl=64 time=0.5 ms 64 bytes from : icmp_seq=1 ttl=64 time=0.5 ms 64 bytes from : icmp_seq=2 ttl=64 time=0.5 ms ping statistics packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 0.5/0.5/0.5 ms Voyons ce que le nmap va nous montrer cette fois ci Test#nmap O -st Starting nmap V. 2.54BETA31 ( ) Interesting ports on ( ): (The 1552 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 80/tcp open http Remote operating system guess: Windows 2000 Professional, Build 2128 Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds Nous allons tester les ports ouverts 29

30 Testons le service FTP Test# ftp Connected to Voyager4.applille FTP server (Version wu-2.6.0(5) Sun Jan 11 01:43:40 CET 2004) ready. Name ( :root): root 530 Please login with USER and PASS. SSL not available 530 Please login with USER and PASS. Login failed. ftp> user (username) root 530 Please login with USER and PASS. Login failed. On remarque que même le «root» n existe pas, on se fait rejeter C'est donc un service plus que simplifie qui est émulé. Testons le service HTTP Voyager4:~/honeyd/scripts# telnet Trying Connected to Escape character is '^]'. HTTP/ NOT FOUND Server: Microsoft-IIS/5.0 P3P: CP='ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI' Content-Location: Date: Thu, 04 Apr :42:18 GMT Content-Type: text/html Accept-Ranges: bytes <html><title>you are in Error</title> <body> <h1>you are in Error</h1> O strange and inconceivable thing! We did not really die, we were not really buried, we were not really crucified and raised again, but our imitation was but a figure, while our salvation is in reality. Christ was actually crucified, and actually buried, and truly rose again; and all these things have been vouchsafed to us, that we, by imitation communicating in His sufferings, might gain salvation in reality. O surpassing lovingkindness! Christ received the nails in His undefiled hands and feet, and endured anguish; while to me without suffering or toil, by the fellowship of His pain He vouchsafed salvation. <p> St. Cyril of Jerusalem, On the Christian Sacraments. </body> 30

31 </html> Connection closed by foreign host. Ici aussi le service est très simplifié en effet, quoique l on demande, on obtient toujours cette page html C. Conclusion La documentation de honeyd encourage vivement les utilisateurs à développer leurs propres scripts et à les partager; plusieurs défis sont d'ailleurs lancés à ce sujet. Les scripts fournis ne sont que des exemples qui ne tromperaient pas réellement un hacker. Il est facile d'écrire de nouveaux scripts, puisque tout exécutable linux peut faire l'affaire. Nous ne travaillerons pas d'avantage ici l'écriture de scripts, qui est du développement plus que de l'utilisation de honeypot proprement dite. 31

32 Partie4 LES PROJETS «HONEYPOTS» 32

33 Ces dernières années, la communauté de la sécurité informatique a accordé un intérêt grandissant aux honeypots. Comme souvent face à une technologie nouvelle, elle s est organisée en projets. I. Le projet HONEYNET La recrudescence d intérêt pour les honeypots est principalement due au développement du concept de honeynet par Lance Spitzner, avec le projet «Honeynet». Un groupe de réflexion sur les honeynets composé de professionnels de la sécurité informatique s est formé et donna naissance officiellement au projet Honeynet en juin Le projet développe ses objectifs en 3 points : - Déclencher une prise de conscience sur la réalité des menaces existant aujourd hui sur Internet. - Enseigner et informer en dévoilant les méthodes et les motivations des pirates. - Faciliter la recherche sur le sujet en diffusant leurs propres outils. Un autre aspect extrêmement instructif du projet Honeynet est l ensemble des challenges soumis pour étude : analyse de scan, analyse «post mortem» et reverse engineering. Le déroulement de ce projet suit 4 phases : : capture et étude de plusieurs attaques en utilisant des honeynets de 1 ère génération (GenI). La démonstration définitive du danger des installations par défaut des systèmes et des applications a été faite : amélioration des dispositifs utilisés dans les honeynets pour les rendre plus difficiles à détecter et plus efficaces dans la récupération d informations à l aide de GenII et des honeynets virtuels. - A partir de 2003 : création d un CD-ROM bootable permettant à quiconque de mettre en place facilement un honeynet. - création de systèmes de centralisation et de corrélation des informations recueillies des honeynets distribués. 33

34 II. La Honeynet Research Alliance Emanation de projet «Honeynet», cette alliance s est mise en place en L objectif est de regrouper plusieurs organisations universitaires, gouvernementales, commerciales et militaires pour développer une infrastructure de honeynets distribués. Cela permettrait d en faciliter le déploiement et ainsi de «mieux partager les découvertes et les expériences sur le sujet des honeynets. Cette alliance participe surtout à un meilleur déploiement géographique, avec une présence sur plusieurs continents. III. Le projet HOSUS (HONEYPOT SURVEILLANCE SYSTEM) Internet est un domaine international, et il est difficile d identifier et de poursuivre les attaquants. HOSUS, décrit par Lance Spitzner en décembre 2002 comme un déploiement possible pour les honeypots, propose de déployer des honeypots disséminés sur Internet, étudiant passivement l activité des attaquants. Le choix des honeypots présente un avantage majeur : le fait qu ils ne fournissent aucune activité de production et donc réduisent le nombre de faux positifs. Pour faciliter le déploiement rapide de HOSUS, il semblerait que le projet s oriente vers la création d un CD-ROM bootable proposant un certain nombre de services et une centralisation des logs. IV. D autres projets «Honeypots : Monitoring and Forensics est un site de recherche sur le sujet. Il fournit notamment des études sur la surveillance d activité grâce à un shell modifié ou l utilisation de VMware pour les honeypots. «Distributed Honeypot». «Florida Honeynet PROJECT pour la création d un honeypot entièrement déguisé : mise en place d un honeynet en créant une fausse entreprise ou organisation qui sera une couverture pour un honeynet et qui disposera d un réseau de classe C avec une connexion de type T1. 34

35 Partie5 GLOSSAIRE 35

36 A AIDE ARP Advanced Intrusion Detection Environment : Variante de l IDE, en plus développé. Address Resolution Protocol : ce protocole permet de traduire des adresses IP 32 bits en adresse Ethernet de 48 bits. B BSD Buffer Overflow Berkeley Software Distribution. L université de Berkeley est connue dans le monde Unix pour les nombreux logiciels qu elle a développée puis mis dans le domaine public. BSD désigne en particulier une famille de versions Unix. Débordement de tampon. Problème de sécurité causé par l absence de contrôle de ce qu on écrit dans un tampon. Une fois l extrémité du tampon atteinte, d autres données sont écrasées. Il y a souvent une chance pour que ces données soient exécutées. Si le contenu du tampon a été fourni par un utilisateur, alors tout est possible. D Déni de service Demon DNS (DOS) Technique d attaque consistant à saturer de fausses requêtes un service pour empêcher les demandes d être servies. Pour plus d efficacité, l attaque peut être distribuée. Originellement Daemon : Disk And Execution MONitor. Programme réalisant des tâches de fond du système, sous Unix. En temps normal, son fonctionnement ne doit pas être remarqué par l utilisateur. Domain Name Server ou Domain Name System. Service essentiel de l internet assurant la conversion des noms de domaines en adresse IP. L intérêt essentiel est de disposer de noms de machines plus faciles à mémoriser. E Emuler Pour un système, cela signifie fonctionner comme un autre système alors qu il n a pas été fait pour cela à l origine. F Firewall Faux-positif Barrière permettant d isoler un ordinateur d un réseau (tout en ne le débranchant pas complètement) pour éviter tout piratage. En général, c est une petite machine sous Unix qui ne contient pas de données sensibles, et étant très surveillée ; les machines par derrière ne l étant pas vraiment. Dans le cadre de la lutte contre de spam, un faux positif est un message légitime considéré à tord comme une chose à détruire par un système de filtrage automatique. 36

37 FTP File Transfer Protocol :Protocole de transfert de fichier. H Honeypot Honeyd Honeynet Dispositif conçu pour attirer les guêpes sur un réseau et les piéger. Cela peut être par exemple une machine apparaissant délibérément peu sécurisée et donc facile à pirater, mais en fait très surveillée. (Honeypot) Simulateur de réseaux (Honeypot) honeypot où l on propose le vrai service sur une machine plus ou mouns sécurisée à la différence de simuler des services sur une machine sécurisée. I IDS IDE IISEmulator IPS IRC Serveur Intrusion Detection System :système de détection des intrusions, en quelque sorte, la base de toute politique de sécurité informatique. Intrusion Detection Environment : variante de l IDS, un peu plu développée. (honeypot avec faible interaction) outil développé par RFH, visant à reproduire le comportement du servuer web IIS de Microsoft. Intrusion Prevention System Internet Relay Chat: serveur permettant de dialoguer en direct avec plusieurs personnes. M MIDS Misure Intrusion Detection System : Système de détection des intrusions dans un réseau, se basant sur l analyse des signatures des éléments du réseau. Adresse MAC Adresse identifiant un élément actif sur un réseau(au niveau 2 OSI). N NIDS NFS NAT Network Intrusion Detection System : systeme de détection d intrusions dans un réseau. Network File System : c est un système de gestion de fichiers de réseau défini par un protocole sans connexion. Network Address Translation. Méthode de traduction d adresses IP non routables en adresses routables et inversement, et qui permet de connecter de nombreuses machines au réseau en n utilisant qu un minimum d adresses officielles. O Overflow Dépassement de capacité. Erreur se produisant à la suite d u calcul quand des chiffres significatifs sont perdus par manque de 37

38 précision dans le format de stockage des données, celui ci n ayant pas suffisamment de place pour stocker toute information. P Pare-feu Pirate Production Passerelle Patch Equivalent de firewall Bandit qui parcourt les RAM et les ROM pour déplomber des programmes, puis les copier et/ou les distribuer illégalement, ou encore pour piller des informations. Un matériel ou un logiciel est dit en production lorsqu il exécute des taches liées au monde réel par opposition aux tests et autres périodes de configuration. Système logiciel et/ou matériel gérant le passage d un environnement à un autre, en assurant la conversion des informations d un format à l autre. Ajout temporaire à un morceau de code, en général pour corriger rapidement un bug (à éviter). Le patch est utile car il est tout petit et permet de corriger des bugs sans diffuser la totalité d un logiciel. R Root Routeur Routage Nom du compte administrateur sous certains systèmes Unix. Dispositif matériel de logiciel permettant de diriger les messages vers le bon destinataire dans un réseau. Méthode d acheminement des informations à la bonne destination à travers un réseau. Selon les types de réseau, on envoie les données par paquets et on choisit leur chemin au coup par coup ou bien on choisit un chemin une bonne fois pour toutes. S Switch spoofing SMB Sniffing Spam Script kiddy SSH SSI Espèce d interrupteur, pas forcément physique, permettant de basculer d un état à un autre. «usurpation» :mystification sur un réseau. On peut faire de l adresse spoofing, de l IP spoofing ou encore du web spoofing. Server Message Block : protocole de Microsoft fonctionnant sous netbios et permettant le partage des ressources à travers un réseau publié. Fait d écouter une ligne par laquelle transitent des paquets de données pour récupérer à la volée (et illégalement) les paquets qui peuvent être intéressants. Courrier d auto-promotion envoyé à des milliers de gens à travers l internet. Pirate faisant tourner une poignée de scripts pouvant lui donner un accès non autorisé à un système. Secure Shell. Shell permettant de se connecter de façon sécurisée sur une machine distante et d y exécuter des programmes, toujours de façon sécurisée. Server Side Include : Avant d envoyer un fichier, le serveur y inclut 38

39 des données particulières. T TTL TTY Time To Live : durée de vie d un paquet dans un réseau, sorte de date de péremption. Chaque fois que le paquet entre dans un routeur, son TTL est décrémenté et quand il tombe à 0, le paquet est détruit, même s il n est pas encore parvenu à destination. TeleTYpe. Terminal en mode caractère, sous Unix en général. 39

40 Partie6 CONCLUSION 40

41 Les honeypots ne sont pas encore franchement utilisés dans les entreprises. En effet, cela est dû au coût en terme de ressources humaines trop important. Il est également difficile d entrevoir à quoi vont ressembler les honeypots du futur car ces derniers dépendent des nouvelles attaques qui n ont pas encore vu le jour Les honeypots sont facilement plus performants et moins verbeux que les NIDS qui doivent analyser un nombre colossal de trames. Cela est d^au fait qu il n ont à traiter que les flux liés aux agressions qui viennent vers eux. De plus, il faut noter que les honeypots ne sont qu une brique supplémentaire permettant d obtenir des informations de sécurité complémentaires aux autres technologies en place. 41