Honeypot

Honeypot

Un honeypot, ou pot de miel, est un ordinateur ou un programme volontairement vulnérable destiné à attirer et à piéger les hackers.

Sommaire

Principes de fonctionnement

Le but de ce leurre est de faire croire à l'intrus qu'il peut prendre le contrôle d'une véritable machine de production, ce qui va permettre d'observer les moyens de compromission des attaquants, de se prémunir contre de nouvelles attaques et de laisser ainsi un temps supplémentaire de réaction à l’administrateur.

Une utilisation correcte d’un honeypot repose essentiellement sur la résolution et la mise en parallèle de trois problématiques :

  • la surveillance ;
  • la collecte d'information ;
  • l'analyse d'information.

Surveillance

Il faut partir du principe que toute information circulant sur le réseau à destination ou non du honeypot est importante. De ce fait, la surveillance doit absolument être constante et doit porter aussi bien au niveau local qu’au niveau distant. Cette surveillance de tous les instants repose sur :

  • l'analyse du trafic réseau ;
  • l'analyse pré compromission ;
  • la journalisation des événements.

Collecte d'informations

La collecte d’informations est possible grâce à des outils appelés renifleurs qui étudient les paquets présents sur le réseau et stockent les événements dans des bases de données. On peut également collecter des informations brutes grâce à des analyseurs de trames.

Analyse d'informations

C'est grâce à l'analyse des informations recueillies que l'on va pouvoir découvrir les défaillances du réseau à protéger et les motivations des attaquants.

Différents types de honeypot

On compte deux types de honeypots qui ont des buts et des fonctionnalités bien distinctes :

  • Les honeypots à faible interaction ;
  • Les honeypots à forte interaction.

Honeypots à faible interaction

Ils sont les plus simples de la famille des honeypots. Leur but est de récolter un maximum d’informations tout en offrant un minimum de privilèges aux attaquants. Ils permettent de limiter les risques au maximum.

On peut ranger, par exemple, la commande netcat dans cette catégorie.

Netcat peut écouter un port particulier et enregistrer dans un journal toutes les connexions, ainsi que les commandes entrées. Ce programme permet donc d'écrire dans un fichier toutes les commandes entrées par des agresseurs. Cependant, ce type d’écoute reste très limité car il faut exécuter la commande pour chaque port que l'on souhaite observer.

Dans la même famille, on pourra citer :

  • Honeyd de Niels Provost qui est un honeypot virtuel capable d’émuler des machines ou un réseau virtuel dans le but de leurrer les hackers. C’est l’un des honeypots à faible interaction qui offre le plus de possibilités.
  • Specter qui permet d’émuler des services classiques (web, FTP, etc.). Il ne permet pas un accès total sur un système d’exploitation à l’attaquant ce qui limite son intérêt.

Honeypots à forte interaction

Ce type de honeypots peut être considéré comme le côté extrême du sujet puisqu’il repose sur le principe de l’accès à de véritables services sur une machine du réseau plus ou moins sécurisée.

Les risques sont beaucoup plus importants que pour les honeypots à faible interaction. Il apparaît donc nécessaire de sécuriser au maximum l’architecture du réseau pour que l’attaquant ne puisse pas rebondir et s’en prendre à d’autres machines.

Les deux grands principes d’un tel honeypot sont :

  • le contrôle de données : pour observer le maximum d’attaques, le honeypot à forte interaction doit accepter toutes les connexions entrantes et au contraire limiter les connexions sortantes pour éviter tout débordement. Cependant, il ne faut en aucun cas interdire toutes les connexions sortantes pour ne pas alerter l'attaquant. Un bon compromis entre sécurité et risque de découverte du leurre est donc nécessaire.
  • la capture des données : avec un pare-feu ou un système de détection d'intrusion (SDI).
    • le pare-feu permet de loguer et de rediriger toutes les tentatives d’attaque aussi bien internes qu’externes.
    • le SDI permet d’enregistrer tous les paquets circulant pour pouvoir reconstruire la séquence d’attaque. Il peut permettre également, grâce aux iptables, de rediriger les paquets compromis vers le honeypot. Il vient donc en complément d’un pare-feu et sert également de sauvegarde au cas où celui-ci tomberait.
    • les informations générées seront redirigées vers une machine distante et non stockées sur la machine compromise en raison du risque de compromission de ces données.

Il faut également relever l’existence de honeypots plus spécifiques comme les honeypots anti-spam ou anti-virus.

Projets en cours

Un grand nombre de projets sur les honeypots ont vu le jour pour collecter des informations sur les outils utilisés par les hackers, leurs méthodes d’attaque et les failles de sécurité qu’ils exploitent mais aussi et surtout leurs motivations.

The Honeynet Project

Dans cette perspective a débuté en juin 2000 le Honeynet Project, projet lancé par une association à but non lucratif composée de professionnels de la sécurité informatique. Leur philosophie est « connais ton ennemi » en référence à l'Art de la guerre.

The Honeynet Project n'est cependant pas le Project Honey Pot, qui est un projet différent et plus récent[1].

Leurs objectifs sont :

  • Faire prendre conscience de la réalité des menaces provenant d’Internet ;
  • Enseigner et informer, donner toutes les informations nécessaires pour améliorer la protection des ressources ;
  • Diffuser leurs outils et stimuler la recherche pour accroître leur potentiel de recherche.

Autres projets

On notera aussi d'autres projets intéressants :

Notes et références

Voir aussi

Articles connexes

  • Compagnonnage (botanique) : le même concept est utilisé en horticulture pour éviter que certaines plantes ne soient la cible de parasites en les attirant vers d'autres plantées à cet effet et ayant un effet toxique.

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Honeypot de Wikipédia en français (auteurs)

Игры ⚽ Нужно сделать НИР?

Regardez d'autres dictionnaires:

  • Honeypot — or honeytrap may refer to: A pot used to store honey Espionage recruitment involving sexual seduction in reality fiction A type of sting operation such as a Bait car Honeypot (computing), a trap to help fight unauthorized computer access Honeypot …   Wikipedia

  • honeypot — ► NOUN 1) a container for honey. 2) a place to which many people are attracted …   English terms dictionary

  • Honeypot — Als Honigtopf oder auch englisch Honeypot wird eine Einrichtung bezeichnet, die einen Angreifer oder Feind vom eigentlichen Ziel ablenken soll oder die Personen in einen Bereich hineinziehen soll, der sie sonst nicht interessiert hätte. Der… …   Deutsch Wikipedia

  • Honeypot — Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los …   Wikipedia Español

  • Honeypot — Este artículo trata sobre el concepto informático Honeypot, para otros usos de la palabra véase Honeypot (desambiguación) Se denomina Honeypot al software o conjunto de computadores cuya intención es atraer a crackers o spammers, simulando ser… …   Enciclopedia Universal

  • honeypot — [[t]hʌ̱nipɒt[/t]] honeypots 1) N COUNT If you describe something as a honeypot, you mean that it is very desirable or very popular. ...traditional tourist honeypots such as London, Bath, Edinburgh, and York. 2) PHRASE If something attracts people …   English dictionary

  • honeypot — UK [ˈhʌnɪˌpɒt] / US [ˈhʌnɪˌpɑt] noun Word forms honeypot : singular honeypot plural honeypots like bees/flies around a honeypot surrounding someone or something that is attractive or interesting …   English dictionary

  • honeypot — noun a) A pot of honey. Superb Roman remains, Georgian architecture and countless museums justify Baths position as a tourist honeypot. b) A place which attracts visitors. Computer experts install honeypots to trick hackers …   Wiktionary

  • honeypot — noun South African shrub whose flowers when open are cup shaped resembling artichokes • Syn: ↑king protea, ↑Protea cynaroides • Hypernyms: ↑protea • Member Holonyms: ↑genus Protea * * * honeypot see …   Useful english dictionary

  • Honeypot (информационная безопасность) — Honeypot («Ловушка») (англ. горшочек с мёдом)  ресурс, представляющий собой приманку для злоумышленников. Задача Honeypot  подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию… …   Википедия

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”