Les pots de miel, à condition d'être bien configurés, sont d'un très grand intérêt éducatif puisque leur but est de permettre d'apprendre les attaques et les méthodologies d'attaque employées par les pirates. C'est un complément très intéressant aux lectures de publications comme "Halte aux hackers" ou "Intrusion Signatures and Analysis" (chez New Riders) et à la mise en oeuvre des exploits publiés sur Bugtraq & cie qui permet de voir en direct la manière de procéder des pirates. Mais la mise en place d'un pot de miel est un art à part entière car si vous ouvrez trop de ports par exemple sur le pot de miel, seuls les script kiddies s'acharneront dessus et l'intérêt est tout de suite moindre.
L'auteur utilise RedHat 7.1 comme pot de miel et Snort comme IDS et s'appuie sur iptables en firewall amont. Seul bémol, il utilise VMWare pour mettre des pots de miel de différents OS sur la même machine et quand on sait que la licence coûte 300USD env. pour la 3.0...
Aller plus loin
- Articles complet (24 clics)
- Honeypot Project (39 clics)
# Utilité d'un "pot de miel"
Posté par Amaury . Évalué à 10.
Quelle est l'utilité d'un pot de miel ?
Observer les "pirates" en action. Manque de bol, un pot de miel attire plus les scripts kiddies qu'autre chose, et un script kiddie en action, à part installer un serveur IRC et 2 trojans (dont il ne connait pas les fonctionnement vu que ce n'est pas lui qui l'a codé), c'est loin d'être instructif, à moins que l'on soit anthropologue et que l'on désire apprendre le L4N6463 |>35 313375.
Les "chances" de tomber sur un "vrai" pirate qui s'y connaît sont minimes. Et dans ce cas, les risques que le pot de miel soit compromis augmente.
Quels sont les inconvénients d'un pot de miel ?
Un pot de miel représente une faille potentielle au sein d'un système. Rien ne prouve que la "cage" dans laquelle évolue le pirate soit sûre (et la loi de Murphy aura vite fait de la prouver). A tout moment le pirate peut lancer des attaques vers l'extérieur (en engageant au passage la responsabilité ou tout au moins la crédibilité de l'entreprise hébergeant le pot de miel) ou vers le réseau interne et se propager au sein de ce réseau s'il y a la moindre faille.
Par ailleurs, il est tout à fait possible que si le pirate est suffisamment compétent pour être intéressant à observer, il se rende compte qu'il a été berné, s'énerve et cherche à nuire aux admins du pot de miel et à leurs machines. Et s'il a vraiment un bon niveau il sera très dur, à terme, de l'en empêcher (théorie du "O-ring" : une seule vulnérabilité sur un point du réseau et tout le système est compromis).
Bref, un pot de miel n'apporte pas grand chose (voire rien d'intéressant AMHA) et représente beaucoup de travail d'installation et d'administration, avec évidemment le risque de voir le pirate prendre le contrôle de la situation. A moins d'être un vrai kador en informatique, c'est vraiment jouer avec le feu.
C'est très amusant à lire, mais personnellement je n'ai jamais rencontré de situation où la mise en place d'un pot de miel se soit révélée nécessaire. AMHA il est beaucoup plus intelligent d'installer snort et swarch et de jeter un oeil aux logs. Maintenant, si vous avez des expériences au sujet de la mise en place d'un pot de miel, ça m'intéresse. :-)
[^] # Re: Utilité d'un "pot de miel"
Posté par bmc . Évalué à 10.
Sinon, une petite question: que choisir entre snort et portsentry ?
Apparemment, snort ne fait que de la détection et ne provoque aucune réaction du système, tandis que portsentry m'a l'air plus "agressif", en ouvrant de faux ports et en bloquant des IP (par une règle de firewall) qui se seraient connectées sur des ports interdits.
Voilà donc ce que j'ai cru comprendre : portsentry fait plus de choses que snort, mais un attaquant se rend facilement compte que portsentry est installé, et peut éventuellement voir son appétit titillé par ce fait.
Avez-vous des conseils ou des remarques ? Vous pouvez même proposer des systèmes alternatifs :)
Merci d'avance.
[^] # Re: Utilité d'un "pot de miel"
Posté par Amaury . Évalué à 10.
Portsentry bloque les IP qui se connectent sur les ports surveillés. Il ne faut donc jamais installer portsentry sur un serveur critique, car les attaques de type DoS (Denial of Service) sont rendues très faciles. Snort ne fait qu'écouter et essaie de détecter une attaque grâce à ses librairies. Son rôle principal est la détection, pas la "réaction", car un IDS peut se tromper (false positive) et cela peut avoir des conséquences facheuses si les processus de réaction sont automatisés.
-> portsentry est vraiment bourrin mais bien pour une machine perso gérée par qqun n'ayant pas envie de se casser le c**
-> snort est beaucoup plus subtil et puissant (grâce à ses plugins) mais laisse une grosse part du boulot à l'administrateur. Prelude ( http://prelude.sf.net/(...(...)) )est un IDS en développement (ne bénéficiant pas encore de la même "communauté" que Snort), mais il semble être beaucoup plus rapide.
Perso j'utilise snort + swatch (ou snortsnarf) pour parser les logs. Et ça roulaize, surtout si tu configure bien les librairies d'attaque pour éviter de consommer trop de CPU.
[^] # Re: Utilité d'un "pot de miel"
Posté par bmc . Évalué à 10.
Ça a l'air pas mal prelude, assez proche de snort. J'aime bien la possibilité d'utiliser XDR pour logguer sur une machine distincte, pratique dans un réseau hétérogène; le cryptage des logs (lors de l'envoi au serveur) avec OpenSSL est intéressant également.
<HS antitroll> Ce projet est sponsorisé par Mandrake apparemment, il semblerait donc qu'il font bien quelque chose pour la communauté contrairement à ce que prétendent certains...</HS>
[^] # Re: Utilité d'un "pot de miel"
Posté par Benoît Sibaud (site web personnel) . Évalué à 8.
[^] # Re: Utilité d'un "pot de miel"
Posté par Amaury . Évalué à -2.
Tant qu'on y es, Snort peut aussi réagir automatiquement aux attaques et "faire du Portsentry" (blocage d'IP etc). Mais c'est déconseillé.
[^] # Re: Utilité d'un "pot de miel"
Posté par Benoît Sibaud (site web personnel) . Évalué à -3.
[^] # Re: Utilité d'un "pot de miel"
Posté par Prosper . Évalué à -1.
vu au dessus par amaury :
Snort ne fait qu'écouter et essaie de détecter une attaque grâce à ses librairies. Son rôle principal est la détection, pas la "réaction", car un IDS peut se tromper (false positive) et cela peut avoir des conséquences facheuses si les processus de réaction sont automatisés
en gros ce que tu vuens de dire
[^] # Re: Utilité d'un "pot de miel"
Posté par Anonyme . Évalué à 0.
Par ailleurs, Prelude est surtout bcp plus fiable au niveau des tests grâce à son arbre binaire matchant la totalité du paquet (et oui, Snort s'arrête à la première alerte, donc facile de cacher un buffer overflow derrière une IP ID ressemblant à Loki 1 et même bcp plus ...) et surtout bcp plus extensible grâce à son architecture extrêmement modulaire. Ainsi pour le moment Prelude est compatible avec les ruleset Snort mais il suffit d'écrire un module de parsing à greffé sur le signature engine pour que tout autre ruleset soit accepté (ainsi on devra un de ces jours parser des filtres BPF directement et donc des ruleset Shadow).
Dernier point, la prochaine release en decembre devrait voir arriver le support IDMEF à travers une base de données MySQL. Et les releases suivantes verront l'arrivée (enfin) du TCP Stream Reassembly (avec qq judicieuses limitations de l'utilisation mémoire) et surtout le début de la distribution (à l'avenir Prelude sera un IDS distribué).
Petit rajout, la suite d'article securityfocus sur les honeypots est très intéressante car elle expose quelques points souvent oublié d'un honeypot dans l'éducation et la détection. Voyez le second article pour une évaluation de l'interet d'un honeypot selon le contexte.
Ex : au milieu de serveur de production, un honeypot totalement inconnu, ne relevant de rien, simplement _là_. Si il reçoit des connexions, c'est forcément suspect etc...
Sinon, les jail de FreebSD sont très pratiques pour créée des honeypots.
[^] # Re: Utilité d'un "pot de miel"
Posté par sbruchet . Évalué à 9.
Il sufit d'aller voir sur le site web de snort :
http://www.snort.org(...(...))
Guardian :
http://www.snort.org/downloads-other.html#3.10(...(...))
[^] # Re: Utilité d'un "pot de miel"
Posté par GP Le (site web personnel) . Évalué à 10.
Le premier test on l'a fait avec un petit script perl representant un IIS4.0... ben les logs venait a 100% des code et autre minda.
Le deuxieme test sur des RPC pot de miel a été plus concluante... mais on a choppe en u week end 3 script kiddies avec des rootkit standard dispo a foison sur le net. Y'en a meme un qui ne savait pas l'utiliser et n'a pas reussi a effacer les logs virutel ;)
Enfin le dernier test avec un bon bind, lui on l'a arrette parce que on avait trop de traffic ;) Faut dire qu'on a remplace un DNS déclaré ;)
Bref, pour etre utiles il faut mettre ca sur une machine blinde et blinder lepot de miel. S'agit aps qu'il ait un buffer ! Mais surtout s'armer d'un bon script pour filtrer les logs du pot de miel et sotir les scriptteur fous !
Voila c'etait ma petite experience et mes deux euro cent la dessus.
[^] # Re: Utilité d'un "pot de miel"
Posté par Étienne . Évalué à -2.
Ton pirate il est pas trop fin s'il ne s'aperçoit pas que quelqu'un qui fait tourner IIS sur un Linux (ou un Unix) c'est un peu louche. Il va croire que tu le prend pour un con.
[^] # Re: Utilité d'un "pot de miel"
Posté par tomazi . Évalué à 7.
... et d'excellentes connaissances réseaux !
> c'est vraiment jouer avec le feu
A mon avis c'est pas destiné aux entreprises lambdas ... mais aux professionnels de la sécurité, consultants, spécialistes, universitaires etc. Mais évidemment pas aux entreprises ! De toute façon une Direction ne laisserait jamais faire ça.
> et de jeter un oeil aux logs
C'est là le point crucial : mettre le système en place (IDS et consorts) c'est bien, le suivre, c'est mieux. Il existe des outils (pas libres à ma connaissance) qui font de la centralisation de logs sécurité (= en provenance de firewall, routeurs, serveurs : système + applicatif, IDS) et de la corrélation pour filtrer l'énormité (en nombre) des alertes notamment celles des IDS.
Si quelqu'un connait des outils libres, ça m'intéresse (et je ne dois pas être le seul).
[^] # Re: Utilité d'un "pot de miel"
Posté par Anonyme . Évalué à -1.
> Centralisation des logs dans une DB
> Corrélation et statistiques
> aide à la décision et prise d'ICE divers et
variées :)
[^] # Re: Utilité d'un "pot de miel"
Posté par XXX XXX . Évalué à 1.
Pardonnez mon ignorance, mais qu'est-ce que swarch ?
# VMWare coute 300$ ?
Posté par David Bober (site web personnel) . Évalué à -6.
L'interet deviend tout a coup moindre...
Il faut ajouter a cela la license de l'os qui tournera dessus (tous ne sont pas free...) ect...
Ils en vendent beaucoup des licenses VMWare ?
[moua]
[^] # Re: VMWare coute 300$ ?
Posté par Sebastien . Évalué à 4.
[^] # Re: VMWare coute 300$ ?
Posté par Anonyme . Évalué à 2.
De toute facon, meme a 300$ ca revient bien moins cher que d'avoir une autre becane pour chaque OS que tu veux tester.
avec suffisament de ram, tu peux avoir autant de vm que tu souhaite en meme temps.
Par ex je suis sur mdk , j'ai une vm pour W2k , une autre pour W98 , une troisieme pour Rh7 , je peux par ex tester les connections samba de tout ce bazar sur un seul ecran. ou une messagerie ,ou une DMZ, faire des tests d'intrusions et de protection, etc...
Il y a des softs proprio qui n'existent (ou ne sont configures) que sur certains os ou distributions. Ca te permet de les tester rapidement avant de decider le deploiment.
Le programeurs windows, qui sont majoritairement sur WNT ou W2k , peuvent verifier que ca marche correctement sur WXP ou W98 sans avoir a rebooter.
Evidement si tu as juste besoin d'ouvrir word ou IE, il y a des solutions bien moins cheres mais plus limitées comme win4lin ou VMware Express qui sont tres bien.
[^] # Fonctionnement réseau de VMWare
Posté par tomazi . Évalué à 0.
Merci de toute info.
[^] # Re: Fonctionnement réseau de VMWare
Posté par Anonyme . Évalué à -1.
http://www.vmware.com/support/ws3/doc/ws30_network3.html(...(...))
Bien endendu, les @IP peuvent etre differentes. Il y a plein de combinaisons.
Quant au promiscuous, je ne sais pas, je n'ai pas essayé.
On peux vraiment faire bcp de chose avec ces vm, mais il faut quand meme verifier sur de vraies machines une fois les choses terminées. Il peut y avoir des subtillites auquelles on n'a pas pensé parce qu'on passe par le meme hard.
[^] # ip <> & promiscuous..
Posté par B. franck . Évalué à 1.
(modules du noyau) donc tu peux faire tout
ce que tu ferais sur une vraie machine.
# C'est passionnant !
Posté par Talou (site web personnel) . Évalué à 10.
Bon, ça m'est déjà un peu arrivé, mais involontairement !
En fait, c'était une machine passerelle vite installée pour répondre à un besoin urgent. Sans réfléchir (très dangereux, ça), j'ai mis une raidatte 6.2 telle que, et non patchée, dont l'infâme wu était connu pour son ouverture (d'esprit) exemplaire...
Eh ben ça n'a pas tardé ! D'abord Ramen, Lionworm, puis un type.
Et le type, il a mit un eggrdop, puis j'ai découvert que même en le virant, y avait autre chose, parce qu'il réinstallait son eggdrop et puis un serveur de jeu et tout ça...
Ma pauvre passerelle, elle était pas faite pour ça !
Ca a duré plusieurs semaines, et j'ai laissé trainer à vrai dire pour une très bonne raison : le jeu m'amusait, mais ne représentait pas plus de danger que cela...
Etait-ce un script-kiddy ? Possible...du moins, le type semblait ne pas se cacher, parce qu'il laissait des bout de codes sur ma machine ! Et puis aussi parce qu'il effaçait régulièrement le rep /var/log (c'est franchement bourrin), mais ses propres rootkit laissaient des traces qu'il n'effaçait pas... C'est comme ça que je l'ai logé : il utilisait même des services extérieur de type dyndns, donc facile à repérer. Mais il n'opérait pas aux mêmes heures que moi (j'ai compris qu'il était brésilien).
Et puis il laissait trainer des scripts (bien cachés tout de même) dans les en-têtes desquels il laissait son nom.
Vraiment bizard comme comportement. Visiblement, il profitait de la machine et se moquait bien de la perdre vu qu'il devait s'être installé sur d'autres aussi (facile à repérer, au vu du nombre de bots qu'il y avait sur son #...)
J'ai fait cesser tout ça graçe à la tribune de linuxfr, qui m'a appris à utiliser les hosts.(deny|allow) (merci les gars !).
Bien sûr, c'est pas un honeypot, parce que ce n'était pas prévu pour ça. C'est même dangereux de laisser faire sur sa propre machine.
Il faut dire que je débutait en réseau, je n'avais aucune notion (il faut un début à tout), mais c'est un super apprentissage ! Et je suis bien content de n'avoir pas tout de suite viré ma raidatte 6.2, même si je ne touche plus à cette distrib depuis :o)
Juste pour info, les rootkits utilisés étaient géniaux (je pourrais les retrouver, je crois) ! En les décortiquant, on pouvait voir qu'ils remplaçaient quelques binaires, et en particulier ps, netstat et ls, et ils étaient installés dans des repertoires sous /dev, de façon à passer inapperçus. ps ne m'indiquait pas le service ouvert, netstat ne me montrait pas les ports ouverts, ls me cachait les repertoires des rootkits... C'est un nmap depuis l'exterieur qui m'indiquait si "DJ-mario" (c'était son surnom) était revenu...
# Winnie roulaize
Posté par Anonyme . Évalué à -10.
[^] # Maya Roulaize plus d'abord
Posté par Anonyme . Évalué à -4.
Vis la plus belle des abeilles (pompopom...)
Que l'on ai vu depuis longtemps (pompopom ...)
S'envoler a travers le ciel ....
C'est une petite abeille dont le nom est
Mayaaaaaaaaaa
Petite oui mais espiègle
Mayaaaaaaaaaaaaaaaa
Quiiii toujours va son chemin (popopomm...)
Quiiii n'a jamais peur de rien
Ve...nez donc decouvrir la belle histoire de
Mayaaaaa
Mayaaaaa
Mayyaaaaa
....
# miel
Posté par Anonyme . Évalué à 1.
c'est quand vous intervenez dans un boitier
de PC, qu'il faut aller placer une satanée
visse dans un coin tordu, et que vous ne disposez
pas d'un tournevis magnétisé (brevet à déposer).
# Légalité
Posté par Sébastien Koechlin . Évalué à 10.
Faites bien attention si vous comptez installer cela dans un autre but qu'éducatif, si vous voulez ensuite porter plainte, n'importe quel juge français vous condamnera immédiatement.
[^] # Re: Légalité
Posté par elvis . Évalué à 1.
Si tu laisses ta voiture ouverte, personne n'a pour autant le droit de te la voler et tu ne commets aucune infraction.
# Le problème...
Posté par Ramón Perez (site web personnel) . Évalué à 1.
[^] # Re: Le problème...
Posté par Anonyme . Évalué à -2.
--
moment ferrero
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.