UML comme pot à miel

Michaël HERVIEUXThomas MEURISSE

UML comme pot à mielMic

Introduction et thématique Protection du système Simulation et topologie réseau Logs et traces Conclusion

Introduction

Qu’est ce qu’UML ?– User Mode Linux– Machine virtuelle (émulation de Linux)– Paramétrisation du hardware émulé– Toute action sur l’UML reste confinée sur l’UML

A quoi sert un honeypot ?– Etude d’un attaquant– Capture de log

Thématique

UML en tant que pot à miel– Avantage : forte interaction– Inconvénient : furtivité

Protection du système 1 - 4

Problématique– Pourquoi protéger le système ?

Différence avec un linux non virtuel Informations traîtres Transparence pour l’attaquant Configuration d’UML

Problèmes de montage Montage de la racine

/etc/mtab & création du device associé Remontage de la racine

Les majeurs Montage de l’hôte

Modification du noyau

La partition /proc– Eléments étranges et différents

#more /proc/cmdlineubd0=rootfs eth0=tuntap,,fr:fd:0:0:0:1,192.168.210.254

root=/dev/ubd0

– HoneyPot Proc FileSystemGestion d’accès avec fichier sur l’hôte

DmesgLe ring buffer du kernel : /proc/kmsgLa solution dans kernel/printk.c

Divers indices– Taille des disques– Mémoire

Simulation 1-1

une machine sans activité risque d’être inintéressante pour un pirate

Pour palier à cela :– scripts divers simulant des connexions SSH,

HTTP ou FTP– mise en place de services sur le système UML :

FTP, HTTP, serveur IRC, …

Topologie réseau 1-4

le système hôte sert de passerelle pour l’UML– Tout le trafic en direction de l’UML passe donc

par l’hôte– Toutes les IPs vu de l’UML ont l’adresse MAC de

la passerelle

Simulation de plusieurs connexions associées aux différents scripts– Création d’utilisateurs fictifs et utilisation du

module owner de iptables : iptables -t nat -A POSTROUTING -m owner --uid-owner

id-faux-utilisateur -j SNAT --to ip-fausse-machine

Réponse à un ping :– iptables -t nat -A PREROUTING -p icmp -d ip-

fausse-machine -j DNAT --to ip-machine-hote

Modification du TTL– Modification des priorités des tables– iptables -t mangle -A POSTROUTING -s ip-

fausse-machine -j TTL--ttl-set valeur-ttl

Divers– Mettre en place les différents services au sein du

réseau simulé (serveur DNS, …)– Spécifier une adresse MAC cohérente pour l’UML

en vue d’un fingerprint

Logs et traces 1-3

Log du trafic réseauroot@hote#tcpdump -i tap0 -s 0 -w fichier

Fichier au format pcap exploitable par différents outils

Logs et traces 2-3

Log de tout ce qui est tapé (log TTY)– possibilité offerte par le noyau UML– indétectable par l’utilisateur– enregistré sur le disque de l’hôte– rejouable ultérieurement

Logs et traces 3-3

Mise en place d’un IDS (prelude) pour détecter les intrusions et faciliter le tri :– prelude-manager sur l’hôte– prelude-nids sur l’hôte– prelude-lml sur le système UML

Conclusion

Difficile de cacher la virtualité de l’UML Récupération de logs indétectable et très

complète Cloisonnement du système empêchant le

pirate de rebondir

Pour en savoir plus

numéro spécial honeypot de MISC (sortie fin juin)

http://user-mode-linux.sf.net/

UML comme pot à miel

Documents

UML Cas complet Démarche d'analyse et de conception avec le langage UML

Conception orientée-Objets avec UML - irit.frRemi.Bastide/Teaching/UML/UML.pdf · Transition vers UML Mapping UML Java. 3 Historique d’UML

Manuel d’utilisation...6 2.2. Jeux Winnie l'Ourson a toujours faim quand il s'agit de miel. Aide-le à trouver son pot de miel tout en apprenant les formes, les couleurs, et bien

sbssa.ac-versailles.fr · Miel de Provence FICHE DE STOCK Unité . Pot de 500 g quantité sortie 10 ÉPREUVE : EPI-B stock 22 14 16 Page 8 sur 8 quantité entrée 20 15 MIP589 no

9 - Isa Pot Campo Gibraltar POT

Pâques - TKD-Sainte-Foytkd-ste-foy.com/site2015/docs/Paques.pdfdeux tablettes de chocolat noir Belge et un pot de tartinade au . chocolat noir à base de miel (300g). La décoration

UML : Les diagrammes d’états - tvaira.free.frtvaira.free.fr/dev/uml/UML-DiagrammesDEtat.pdf · TRAVAIL DEMANDÉ Rappels Unobjetestunestructure de données encapsuléesquirépondàunensembledemessages

UML Conception

PANIERS CADEAUX NOËL 2015 · PANIERS CADEAUX NOËL 2015. PANIER N°1 Un pot de miel artisanal de l'Aude (250g) ... 1 « V de Ventenac » rouge 2012 ... tomate, poivron, ail, basilic

UML introduction

Transmodel in UML

Débuter en apiculture - Au Bon Miel | Miel de Champagne

Mapping UML - JAVA - fromeo.free.frfromeo.free.fr/pub/ens/2008/uml/Mapping_UML_JAVA_FR.pdf · fabien.romeo@fromeo.fr 3 Plan • Introduction – Mapping UML-Java – Génération

UML 2-MeilleurCours UML

Cuisine Au Miel

qualité du miel

UML Diagrammes de Collaboration - selsek.free.frselsek.free.fr/eloker/miage/cours M1/uml/UML-Collaborations.pdf · Cyrille Desmoulins © Cours UML MIAGE 3. 2005-2006 3 Notion de collaboration

Contraintes uml

DAFS Unified Modeling Language (UML) - ENSEEIHTcregut.perso.enseeiht.fr/.../algo-dafs-2018-cm-uml-sujet.pdfDAFS — Uniﬁed Modeling Language (UML) Introduction Principales versions

Conception - Objets & UML -