Soutenance mémoire
Les « Honeynets »
Les « Honeypots »
L’utilisation des honeypots dans les systèmes informatiques revient au milieu des années 80, où Clifford Stoll a rapporté dans son livre [Sto90] les premiers balbutiements du concept de honeypot, lorsque dans le cadre d’une investigation qu’il menait à l’université de Berkeley (en 1986), celui-ci a été amené à alimenter un pirate en fausses informations, de façon à garder l’intrus en ligne suffisamment longtemps pour réussir à le localiser et finalement le faire appréhender par les forces de police. Ainsi l’idée de pot de miel ou honeypot naît, dans sa première appréhension, dès le milieu des années 1980. Et au début des années 90, le 7 janvier 1991 pour être exact, Bill Cheswick a implémenté et déployé un véritable Honeypot au sein des laboratoires de la division de
recherche informatique et scientifique de AT&T [Che04].
Bill a présenté le problème de la façon suivante : « Un cracker, croyant avoir découvert le fameux trou de sécurité utilisant la commande DEBUG de sendmail sur notre passerelle Internet a tenté d’obtenir une copie de notre fichier password. Je la lui ai envoyé ».
Quelques années plus tard le concept de honeypot devient plus sophistiqué, faisant l’objet de véritables études et donnant lieu au développement d’outils spécifiques comme : Deception T oolki en 1997, CyberCop en 1998 (premier honeypot commercial), BackOff icer F riendly en 1998, honeyd en 2002 et plusieurs autres [MFH04, Spi02].
Types de « honeypots »
« Honeypots » de production (production Honeypots)
Un honeypot de production est utilisé pour sécuriser un réseau opérationnel. Il déroute les attaques orientées vers les différents services de production du système, en les attirant vers lui, ce qui permet de réduire le risque, en renforçant la sécurité qui est assurée par les autres mécanismes de sécurité comme les f irewalls, les IDS (Systèmes de Détections d’Intrusions), etc. Comme il peut aussi détecter des attaques grâce à ses fichiers d’audit, qui peuvent être aussi utilisés pour corriger les vulnérabilités.
« Honeypots » de recherche (research Honeypots)
Le souci de ce type de honeypots n’est pas de sécuriser un système particulier, mais c’est de s’introduire dans un environnement de recherche pour comprendre et étudier comment la communauté Black Hat évolue, quelles sont les techniques que cette communauté utilise et qui appartient à cette communauté. Les honeypots de recherche sont plus complets que les honeypots de production. C’est en général le système en entier qui peut être attaqué (et non pas seulement un seul service), ce qui en fait des systèmes sensibles dans leur gestion et complexes pour l’analyse de leurs résultats.
Classification des « honeypots »
« Honeypots » à faible interaction
Un honeypot à faible interaction est un honeypot virtuel fournit comme le montre son nom une interaction limitée (faible) avec le pirate, il est tout simplement un programme qui simule les services d’un système réel [Ros03] par la mise en place par exemple des sockets d’écoute sur chaque port d’un service, ces sockets ne font que logger les différents paquets qu’elle reçoit.
« Honeypots » à moyenne interaction
Un honeypot à moyenne interaction est un honeypot semi-virtuel qui assure une simulation améliorée des services d’un système par rapport à la simulation fournie par les honeypots à faible interaction, en lui ajoutant la possibilité de renvoi des réponses aux attaquants, ces réponses sont généralement fausses de façon à leur donner des pistes ou à les dérouter sans forcément les intriguer. En plus des services simulés, il offre aussi quelques services réels, mais sans donner la possibilité au pirate de prendre un contrôle total du système.
« Honeypots » à haute interaction
Contrairement aux honeypots à faible et à moyenne interaction, un honeypot à haute interaction ne se base pas sur l’émulation d’un service, mais plutôt sur un vrai système d’exploitation, ce qui offre une grande interactivité avec l’attaquant, puisque il s’agit bien des systèmes réels avec des failles de sécurité qu’il peut exploiter. Ce type de honeypots est orienté plus à la recherche dont on souhaite qu’un pirate pénètre un système pour l’observer.
Les « Honeynets »
Un honeynet est un réseau de systèmes honeypots combiné avec un ensemble de mécanismes de sécurité comme les f irewalls, les IDS, les serveurs log, …etc [Spi02,HP07d]. Il donne apparence à tout un environnement de production avec des failles et des informations pertinentes utilisées comme appât pour attirer et piéger les attaquants afin de surveiller et d’enregistrer ensuite toutes leurs actions. Sa structure de réseau permet même d’avoir des renseignements sur les communications entre les attaquants et leurs méthodes de collaboration. A cause de la richesse des informations collectées par lui, un honeynet est considéré comme un outil très utile pour apprendre plus sur les techniques d’attaques, et les comportements des attaquants, sur un réseau réel.
Le « Honeywall »
Le honeywall [HP07e] est sans doute la partie la plus importante dans la technologie honeynet roo, c’est la passerelle dans laquelle s’effectuent toutes les fonctionnalités de contrôle, de capture et d’analyse des données qui représentent l’objectif principal d’un honeynet. Le honeywall est un dispositif (une passerelle) de la couche 2 du modèle OSI basé sur une version minimisée du système F edora Core 3, il joue le rôle d’un pont entre le réseau externe (le réseau non honeynet exp : Internet ou intranet) et le réseau honeynet, derrière ce dispositif on trouve les différents honeypots du honeynet, qui sont des systèmes avec des services et des vulnérabilités réels. Donc, tout trafic entrant ou sortant de ces derniers transite obligatoirement par le honeywall. Avec cette position du honeywall, on peut facilement capturer et logger tout trafic malveillant entrant ou sortant de notre honeynet, comme on peut aussi facilement contrôler tout le trafic transitant le honeynet (entrant ou sortant), ce qui nous permet d’empêcher facilement les attaques destinées vers les machines du monde externe à partir d’un de nos honeypots (rebondissement d’attaque), en limitant la quantité du trafic sortant et le nombre de ports de destination autorisés, et en bloquant le trafic correspondant à des attaques connues.
|
Table des matières
Introduction générale
1 Les technologies « honeypot »
1.1 Introduction
1.2 Les « Honeypots »
1.2.1 Historique
1.2.2 Définition
1.2.3 Types de « honeypots »
1.2.3.1 « Honeypots » de production (production Honeypots)
1.2.3.2 « Honeypots » de recherche (research Honeypots)
1.2.4 Classification des « honeypots »
1.2.4.1 « Honeypots » à faible interaction
1.2.4.2 « Honeypots » à moyenne interaction
1.2.4.3 « Honeypots » à haute interaction
1.2.5 Architecture des « Honeypots »
1.2.5.1 Architecture réelle
1.2.5.2 Architecture virtuelle
1.2.6 Quelques technologies « honeypot » existantes
1.2.6.1 BackOfficer Friendly (BOF)
1.2.6.2 Specter
1.2.6.3 Nepenthes
1.2.6.4 Honeyd
1.2.6.5 Deception Toolkit (DTK)
1.2.6.6 ManTrap
1.3 Les « Honeynets »
1.3.1 Définition
1.3.2 Fonctionnement des « Honeynets »
1.3.2.1 Le contrôle des données
1.3.2.2 La capture et la collection des données
1.3.2.3 L’analyse des données
1.3.3 Architecture des « honeynets »
1.3.3.1 Architecture de la 1ère génération
1.3.3.2 Architecture de la 2ème génération
1.3.3.3 Architecture de la 3ème génération
1.3.4 Les « Honeynets » virtuels
1.3.4.1 « Honeynet » purement virtuel
1.3.4.2 « Honeynet » virtuel hybride
1.4 Conclusion
2 La technologie « honeynet ROO CDROM »
2.1 Introduction
2.2 Le « Honeywall »
2.2.1 Description
2.2.2 Les composants d’un « honeywall »
2.2.2.1 Composants de contrôle des données
2.2.2.2 Composants de capture et de collection des données
2.2.2.3 Composants de configuration et d’analyse des données
2.3 VMWare
2.3.1 Description
2.3.2 Mise en réseau virtuel
2.3.2.1 Réseau virtuel ponté (bridged)
2.3.2.2 Réseau virtuel hôte uniquement (host − only) .
2.3.2.3 Réseau virtuel avec translation d’adresses réseau (NAT)
2.4 Expérimentation
2.4.1 Environnement d’expérimentation
2.4.2 Ressources d’expérimentation
2.4.3 Architecture d’expérimentation
2.5 Analyse du trafic capturé
2.5.1 Analyse statistique
2.5.1.1 Trafic total (entrant et sortant)
2.5.1.2 Trafic sortant
2.5.2 Analyse détaillée
2.5.2.1 Trafic des attaques inconnues (sans alertes)
2.5.2.2 Trafic des attaques connues (avec alertes)
2.6 Conclusion et Leçons acquises
3 La technologie « Honeyd »
3.1 Introduction
3.2 Compilation et installation de « honeyd »
3.3 Architecture interne de « honeyd »
3.3.1 Fichier de configuration (honeyd.conf)
3.3.2 Scripts de services
3.3.3 Gestionnaire de personnalité
3.3.4 Gestionnaire de la pile IP
3.4 Fonctionnement de « honeyd »
3.5 Expérimentation
3.6 Analyse du trafic capturé
3.7 Conclusion
4 Détection des « honeypots »
4.1 Introduction
4.2 Détection de la technologie « honeynet ROO CDROM »
4.2.1 Problématique
4.2.2 Présentation générale de notre technique .
4.2.3 Modes de fonctionnement du relais de notre technique
4.2.3.1 Mode avec risque
4.2.3.2 Mode avec risque réduit
4.2.3.3 Mode sans risque
4.2.4 Avantages de notre technique par rapport à l’ancienne technique
4.2.5 Problèmes qui peuvent être rencontrés lors d’implémentation de notre technique
4.3 Détection de la technologie « honeyd »
4.3.1 Classification des machines de notre réseau
4.3.2 Expérimentation
4.3.2.1 Le premier test et la faille détectée
4.3.2.2 Le deuxième test et les deux failles détectées
4.3.2.3 Le troisième test et la faille détectée
4.3.3 Solutions proposées
4.4 Conclusion
Conclusion générale et Perspectives
Télécharger le rapport complet
