Escolar Documentos
Profissional Documentos
Cultura Documentos
Rapport de projet
HONEYPOTs
Encadr par :
BOUKHIRA Adil
GHAMRANE Layla
HADJI Abdelhakim
LOUAH Majdouline
Pr Y.KHAMLICHI
Remerciement
Nous tenons prsenter nos vifs remerciements et notre profond
respect M.KHAMLICHI qui nous a prt main forte pour
lencadrement et la ralisation de ce travail.
Ainsi, nous adressons nos remerciements tous nos professeurs,
Monsieur le Directeur ainsi qu tout le personnel de lEcole Nationale
des Sciences Appliqus Khouribga. Nous tenons aussi remercier
tous ceux qui ont contribu de prs ou de loin au bon droulement de
notre projet.
1
Services Daccs
Prsentation ......................................................................................................................... 4
1. Quest-ce quun honeypot ? ............................................................................................ 4
2. Quest-ce quun exploit ? ................................................................................................ 4
3. Un peu dhistoire ............................................................................................................. 4
4. Buts recherchs ............................................................................................................... 5
a. Production .................................................................................................................... 5
b. Recherche .................................................................................................................... 5
5. Avantages et inconvnients des honeypots ..................................................................... 5
a. Avantages .................................................................................................................... 5
b. Inconvnients ............................................................................................................... 5
II.
2
Services Daccs
Conclusion :...................................................................................................................... 22
3
Services Daccs
I.
Prsentation
3. Un peu dhistoire
Lide nest pas nouvelle et peut tre attribue Bill Cheswick, un programmeur systme
spcialis dans la scurit et travaillant chez AT&T Bell. Le 7 Janvier 1991, il a commenc
jouer avec un pirate en rpondant manuellement ces requtes qui tentaient dexploiter une faille
dans le dmon sendmail. Bill a alors russi lui faire croire quil avait obtenu une copie du
fichier passwd qui contenait en ralit que des comptes falsifis et contrls par le programmeur
de AT&T Bell. Il a alors laiss le pirate samuser sur la machine et a tudi son comportement
pendant plusieurs mois. Il a ensuite publi un papier sur ses dcouvertes.
Ce nest seulement quen 2000 que le terme honeypot a vraiment t intgr dans le monde
des entreprises. En effet, cest cette poque que lon a vu le dploiement des premiers
honeynets.
4
Services Daccs
4. Buts recherchs
Les pots de miel sont essentiellement utiliss dans des environnements de production ou de
recherche.
a. Production
Dans un environnement de production, un honeypot est utilis pour drouter les attaques vers
des machines leurres qui simulent un rseau de production. Ce type dhoneypot ne requiert pas
beaucoup de vigilance de la part de ladministrateur. Il doit uniquement surveiller les intrusions
sur les machines leurres afin de sassurer que les failles exploites ne sont pas prsentes sur les
machines de production relles.
b. Recherche
Cest le domaine dapplication des honeypots le plus intressant et celui qui a t trait tout
au long du projet. Le rle de lhoneypot dans un environnement de recherche est dobserver les
mthodes de piratage et tudier le comportement des pirates. Ce type dhoneypot est plus
difficile mettre en place et requiert un suivi constant si on ne veut pas avoir de mauvaises
surprises.
II.
Selon les besoins, on distingue plusieurs types dhoneypots. Cette section dcrit les types
dhoneypots les plus rpandus.
5
Services Daccs
1. Web honeypots
Des dizaines dapplications web naissent chaque jour. Gnralement crites en PHP, ces
applications contiennent des bugs qui conduisent pour la plupart du temps des vulnrabilits.
"XSS", "include", "path disclosure", "file disclosure" sont des termes qui nont plus aucun secret
pour les pirates et tous les jours, des milliers de sites sont compromis grce lexploitation dune
de ces failles. Cest ainsi que lon a vu grandir les web honeypots dans le but de
contrer/comprendre/analyser ce genre dattaque.
titre dexemple, on peut citer le Google Hack Honeypot, le premier web honeypot qui
mule des applications PHP connues telles que phpbb, joomla, les rfrences ensuite dans le
moteur de recherche le plus utilis du monde et attend des attaques pour rcuprer la requte
utilise pour atteindre la fausse application. Les informations glanes peuvent tre ensuite
analyses pour localiser de nouvelles failles non publies, prvoir larrive dun nouveau ver et
le contrer comme cela a t fait pour le ver Santy qui rcuperait des sites vulnrables en
envoyant des requtes spcifiques Google qui na mis que quelques jours pour les bloquer.
6
Services Daccs
7
Services Daccs
III.
La mise en place de honeytrap, honeypot faible interaction prsent dans la section 2, ncessite
l :
Installation des packages ncessaires :
$ sudo apt-get install python-psyco python-mysqldb python-psycopg2
8
Services Daccs
Installation dAmun :
$ cd ~/src/
$ wget http://downloads.sourceforge.net/project/amunhoney/amun/amunv0.1.9/amun-v0.1.9.tar.gz
$ tar xzvf amun-v0.1.9.tar.gz
$ cd amun/
a. Amun.conf :
Dans le fichier de configuration, nous avons configur toutes les adresses IP o existe linterface
quAmun peut prendre.
9
Services Daccs
10
Services Daccs
Parmi les avantages de Nepenthes, ils font la collection de malwares une fois ils ont install sur
le pc. En effet, il ne ncessite pas une configuration bien spcifique. Le fichier de configuration
par dfaut est suffisant.
# gedit /var/log/nepenthes.log
Voici ci-dessous un exemple de fichier log :
11
Services Daccs
Amun
Honeypot faible interaction.
Collecte de malwares se propageant de faon
autonome sur le rseau.
Emulation des vulnrabilits des services
rseaux connues.
Tlchargement de payload malicieux afin de
les analyser.
12
Services Daccs
13
Services Daccs
14
Services Daccs
la surveillance ;
la collecte d'information ;
l'analyse d'information.
15
Services Daccs
16
Services Daccs
On utilise la commande ping pour vrifier si notre machine Honeyd (Windows) est bien
fonctionne.
17
Services Daccs
Remarque :
Nous avons utilis deux machines BackTrack 5, lune pour linstallation et la
configuration de lhoneyd et lautre pour les tests de ping et de vrification.
c. Conclusion :
Honeyd est un honeypot trs souple. Mais lHoneyd na pas t conu pour fonctionner dans
un systme de production mais plutt dans le domaine de la recherche pour pouvoir amliorer
lavenir la scurit dun rseau.
Vous devez dcommenter la ligne "# Port 22" et changer "22" ce que vous voulez (en prendre
note), par exemple 2222.
18
Services Daccs
19
Services Daccs
IV.
Un honeypot est ractif et rpond aux requtes du pirate. De plus la ractivit, dans le cas
des honeypots forte interaction, est totale puisque le pirate la main mise sur un vritable
systme gr de faon, suppos, inaperue de lextrieur par un bonhomme qui fait de la
scurit. Malheureusement, comme tout systme informatique, il possde des faiblesses que cette
section va tenter dillustrer.
Pour quil soit le plus attractif possible, un honeypot doit tre indtectable par un pirate.
En effet, la mise en place de pots de miel sest rpandue dans les entreprises et les pirates ont mis
en place des techniques permettant de dtecter leur prsence. Cette sous-section dcrit plusieurs
mthodes qui auraient pu tre mise en place par un pirate pour sapercevoir quil est dans un
rseau leurr.
Commenons avec les pots de miel faible et moyenne interaction qui sont faciles dtecter
pour un humain, le camouflage ntant pas une priorit dans le sens o ces honeypots sont
destins piger les programmes automatiss tels que les vers ou les mass rooter plutt que les
pirates.
20
Services Daccs
Par exemple :
Nepenthes
La dtection de nepenthes peut se faire en essayant dexploiter deux failles touchant deux
versions de Windows diffrentes, si les deux russissent alors il est fort probable quun
nepenthes se cache derrire la machine.
Kojoney
La dtection de Kojoney peut se faire en jouant avec des caractres spciaux tels que le
C ou le D qui dans le read() de python nont pas la mme attitude que dans le read() du vrai
serveur ssh. En plus de ces diverses anomalies dans linterprteur, on peut galement visualiser
la clef publique envoye par le serveur ssh pour dtecter un kojoney sachant quil utilise toujours
la mme clef.
21
Services Daccs
V.
Conclusion :
travers ce projet, tous les intrts que peuvent prsenter la mise en place de pots de
miel dans un rseau informatique ont t mis en avant. Les pots de miel sont les outils idaux
pour tudier le comportement, les tactiques et les motivations des pirates informatiques et ainsi
se prmunir efficacement des attaques de ces derniers.
Il faut cependant garder lesprit que les honeypots visent attirer les pirates sur son
rseau informatique et que la dcision de dployer ce genre de rseau leurr ne doit pas tre prise
la lgre. Les objectifs doivent tre clairement dfinis car ils reprsentent un outil trs efficace,
leurs configurations et leurs manipulations restent trs dlicates et une erreur peut se rpercuter
sur le rseau de production.
Mme si les pots de miel sont encore assez jeunes et rservs aux experts de la scurit,
ils reprsentent dores et dj une technologie trs prometteuse dans la lutte contre la
cybercriminalit.
22
Services Daccs