Embed Size (px)
Citation preview
SARNA Hélène Janvier 2004 WALLYN Laure PERRIN Xavier DE CASTRO Emmanuel THIRIOT Samuel WESTRELIN Gabriel ROMBOUTS Julien LEROY Aurélie
Dossier de Sécurité :
LES HONEYPOTS Version 1.4 (15/01/04)
2
SOMMAIRE INTRODUCTION ........................................................................................................ 4
Partie1 PRESENTATION .................................................................................. 6 I. Petit Historique........................................................................................... 7 II. Fonctionnement des honeypots ............................................................... 7
A. Les honeypots à faible interaction........................................................ 7 B. Les honeypots à forte interaction. ........................................................ 8
Les honeynets. ............................................................................................. 8 Le contrôle de données................................................................................ 8 La capture de données................................................................................. 9 Les honeynets virtuels.................................................................................. 9
III. Intérêts et contraintes...............................................................................10 A. Intérêts....................................................................................................10 B. Inconvénients.........................................................................................10
Partie2 PRESENTATION DES OUTILS DISPONIBLES .................................11 I. UML ............................................................................................................12 II. ManTrap .....................................................................................................13
A. But...........................................................................................................13 B. Intérêt......................................................................................................13
III. Snort_inline................................................................................................13 A. But...........................................................................................................13 B. Intérêt......................................................................................................13
IV. Bait and Switch..........................................................................................13 A. But...........................................................................................................13 B. Intérêt......................................................................................................13
V. HoneyTokens.............................................................................................14 A. But...........................................................................................................14 B. Intérêt......................................................................................................14
VI. Wireless Honeypots ..................................................................................14 A. But...........................................................................................................14 B. Intérêt......................................................................................................14
Partie3 INSTALLATION SOUS LINUX ET WINDOWS ...................................15 I. Honey et Windows ....................................................................................16
A. Back Officer Friendly dir BOF...............................................................16 La console...................................................................................................16 Différence entre Simulation et écoute : .......................................................17 Simulations :................................................................................................17 Conclusion ..................................................................................................20
B. Specter ...................................................................................................21 Présentation ................................................................................................21 Les principaux inconvénients ......................................................................21 Les principaux avantages............................................................................21 Les principaux écrans .................................................................................23
II. Honeypots et Linux ...................................................................................26 A. Présentation de « HONEYD », le logiciel sous Linux .........................26 B. Tests .......................................................................................................26
Sans configuration.......................................................................................26 Avec une configuration « basique » ............................................................27 Tests plus avancés avec la config précédente ............................................28
3
Config encore plus avancée : avec une machine virtuelle...........................29 C. Conclusion .............................................................................................31
Partie4 LES PROJETS « HONEYPOTS » .......................................................32 I. Le projet “HONEYNET”.............................................................................33 II. La Honeynet Research Alliance ...............................................................34 III. Le projet HOSUS (HONEYPOT SURVEILLANCE SYSTEM)....................34 IV. D’autres projets .........................................................................................34
Partie5 GLOSSAIRE ........................................................................................35 Partie6 CONCLUSION.....................................................................................40
4
INTRODUCTION
5
Dans le cadre de notre projet de sécurité, nous avons choisi de nous
intéresser aux honeypots ou « pots à miel ». Un honeypot est une ressource de l’architecture de sécurité dont le but est de
se faire passer pour une cible réelle afin d’être sondée, attaquée ou compromise. Autrement dit, les honeypots sont des machines de production destinées à attirer les pirates. Ceux-ci, persuadés d’avoir pénétré le réseau ont tous leurs faits et gestes surveillés.
Les honeypots font de plus en plus d’adeptes pour sécuriser leurs
environnements. Dans une première partie, nous vous présenterons le fonctionnement, les
avantages et les inconvénients des honeypots. Dans une seconde partie, nous vous présenterons brièvement les outils
disponibles. Ensuite, en troisième partie, nous expliquerons les installations que nous
avons effectués sous Linux et Windows et terminerons par une brève présentation des projets concernant les honeypots.
6
Partie1 PRESENTATION
7
I. Petit Historique
Le principe des honeypots est né en 1986 lorsqu’un administrateur système cherchait à comprendre pourquoi il avait 75 % de perte de données au niveau de la comptabilité. Il découvrit un pirate informatique sérieusement ancré dans le réseau qui espionnait et revendait ses informations. Il décida alors de fabriquer de faux fichiers et réussit ainsi à leurrer l’attaquant pendant un certain temps, temps nécessaire pour le localiser et le faire arrêter.
Depuis, de nombreux outils et études ont été créées sur ce thème et les honeypots sont en passe de devenir des outils faisant partie de la panoplie du parfait ingénieur sécurité. En effet, leurrant les agresseurs, les honeypots font gagner du temps aux défenseurs, leur dévoilant les techniques utilisées par les attaquants et les objectifs des ennemis.
II. Fonctionnement des honeypots
A l’instar des machines usuelles, les honeypots sont des systèmes conçus pour être scannés, attaqués et compromis.
Les honeypots sont très variés et revêtent différentes formes. On en distingue deux classes suivant l’interaction qu’ils offrent aux attaquants.
A. Les honeypots à faible interaction.
Ce sont les honeypots les plus simples. Leur but est de capturer de l’information sans offrir beaucoup de privilèges à l’agresseur, et donc, de risques potentiels puisque l’attaquant est très limité . Un exemple très simple est « netcat », qui écoute un port spécifique et logue toutes les commandes entrées. Cependant, des applications plus développées émulent de vrais services destinés à tromper les pirates, comme par exemple « iisemulator » ou encore « honeyd ». Néanmoins, afin d’obtenir des résultats plus exploitables, il faut utiliser des honeypots à forte interaction.
8
B. Les honeypots à forte interaction.
Les honeynets.
On compte dans ce cas, proposer le vrai service sur une machine plus ou moins sécurisée. Néanmoins, les risques sont très nombreux puisque la machine est très vulnérable. Il faut donc s’assurer que l’architecture sous-jacente soit bien sécurisée. Les honeynets reposent sur deux principes : le contrôle de données et la capture de données.
Le contrôle de données.
Un honeypot doit pouvoir accepter toutes les connexions entrantes, mais le trafic sortant doit être surveillé pour éviter les attaques vers l’extérieur.
Une solution intéressante est l’architecture de première génération. L’élément de contrôle est un pare-feu de niveau 3, autorisant toutes les communications entrantes mais limitant le connexions sortantes en fonction du temps. Linux Windows 2000 Serveur de log Architecture de première génération
Serveur de Log - Alertes
IDS
Switch Routeur Pare-feu
INTERNET
9
La seconde solution est l’architecture de seconde génération. Le pare-feu n’est plus de niveau 3 mais un bridge de niveau 2. celui-ci est difficilement détectable puisqu’il n’a pas d’adresse IP. On contrôle alors le flot sortant (les paquets peuvent être modifiés à la volée pour devenir inoffensifs).
Interface de niveau 2
Architecture de seconde génération
La capture de données
Le premier outil de capture est le pare-feu. Il permet de loguer toutes les connexions venant de l’extérieur comme de l’intérieur. Un autre moyen de capture est de mettre en place un système de Détection d’Intrusion IDS. Pour récupérer les données (logs), on utilise une autre machine distante.
Les honeynets virtuels
Ce sont un moyen de recréer une architecture de honeypot sur une seule machine. Cette dernière est à la fois passerelle, IDS et serveur de log distant.
HoneyPots
HoneyPots
HoneyPots
*******
Pare-
feu / bridge
Production
Production
Production
*******
INTERNET
III. Intérêts et contraintes
Etablissons dans cette partie les avantages et les inconvénients des honeypots.
A. Intérêts
Les honeypots ne sont pas une solution que l’on place pour résoudre un problème mais un outil à exploiter.
Le but des honeypots est de capturer un pirate et/ou de l’occuper un certain temps, temps pendant lequel il ne s’attaquera pas aux vrais systèmes de production. Un honeypot peut être plus spécifique, comme le montre l’exemple de la lutte contre le spam en se faisant passer pour de relais ouverts. Ce sont des alliés très efficaces pour les IDS et sont des solutions rapides à mettre en place. Ils peuvent permettre la détection des faux-positifs. Le coût en terme ressources matérielles est négligeable. Enfin, utiliser un honeypot au sein d’un réseau interne d’une entreprise se révèle être un outil redoutable pour la détection des actes de malveillance provenant de l’intérieur.
B. Inconvénients
Les honeypots doivent simuler des services et des systèmes utilisés par les vrais systèmes de production. Le faux système peut être mis en place à côté des serveurs de production. Le honeypot doit être attractif afin de susciter l’intérêt, sinon, il sera ignoré et donc inutile. La charge de travail liée à l’exploitation des honeypots dépend directement du niveau d’interaction du honeypot, plus celle-ci est forte, plus la charge de travail sera importante.
11
Partie2 PRESENTATION DES OUTILS DISPONIBLES
12
I. UML
UML (User Mode Linux) permet d’avoir à sa disposition une machine virtuelle tournant sur Linux. L’intérêt est de pouvoir tester sans risque de nouveaux programmes ou même un nouveau noyau, puisque tout ce qu’on effectuera sur l’UML, lancé en tant qu’utilisateur sans privilèges particuliers, ne pourra endommager la machine de départ.
UML a été conçu tout d’abord pour les programmeurs et utilisateurs avancés de Linux qui voulaient en toute sécurité développer de nouvelles versions du noyau et les expérimenter sans devoir réinstaller une nouvelle distribution à chaque fois. Il permet de créer une machine virtuelle avec les paramètres matériels et logiciels quelconques, avec accès aux composants sélectionnés d’une machine qui existe vraiment. Le système des fichiers UML est contenu dans un seul fichier du système réel. De cela, tous les dommages qui ont lieu dans le monde virtuel ne sont pas dangereux.
En utilisant UML comme honeypot, le but est d’attirer les pirates et de les faire venir sur notre machine virtuelle tout en leur faisant croire qu’ils se trouvent sur une machine réelle. On espère ainsi découvrir de nouvelles techniques de piratage qui pourraient être mises en oeuvre sur des ordinateurs où l’issue serait plus critique.
L’accent sera mis sur les différents aspects qui pourraient trahir la virtualité de l’UML sur des aspects système et réseau d’une part, et voir comment tracer les attaques d’un assaillant d’autre part. Il faut configurer UML de façon à ce qu’il soit vulnérable afin d’attirer le pirate, sans toutes fois exagérer afin que le pirate ne se rende pas compte de la supercherie. Le paramétrage de UML constitue la partie la plus longue et la plus importante de l’installation. Il est important d’insister sur le fait que le réseau doit paraître comme le plus réaliste possible, donnant parfois l’accès à certaines ressources (toujours virtuelles) ou faisant apparaître certaines failles pour ne pas paraître trop louche. Voici un schéma représentant le principe de fonctionnement.
Serveur
Serveur virtuel sur UML
Réseau Reproduction
virtuelle du réseau
Pirate
Le pirate qui essaie de se connecter au serveur et qui est reconnu comme tel est envoyé sur le honeypot UML qui reproduit le réseau de l’entreprise afin de voir les intentions du pirate, et sa façon d’agir.
II. ManTrap
A. But
ManTrap est un produit commercial permettant de créer des honeypots avec forte interaction.
B. Intérêt
Il s’appuie sur la création de différentes cages systèmes séparées et hébergées sur une seule machine.
Il permet de simuler un trafic email entre utilisateurs afin de faire croire à un attaquant qu’il est réellement sur une vraie machine ou encore donne la possibilité de couper le système en cas de détection de nouvelles attaques.
III. Snort_inline
A. But Outil puissant qui permet de tirer parti de la base de signatures et des modules
d’analyse des protocoles des couches applicatives d’un IDS afin de rajouter au pare-feu des fonctionnalités de type IPS (Intrusion Prevention System).
B. Intérêt
L’utilisation de Snort_inline est bien adaptée pour la surveillance d’un honeypot car peu de connexions sortantes. En revanche, le traitement des paquets dans l’espace utilisateur étant beaucoup plus lent, il faudra tenir compte de la performance.
IV. Bait and Switch
A. But
Le projet Bait & Switch est un concept qui utilise les honeypots comme des moyens ne permettant pas uniquement de faire de la détection et de la surveillance mais également de la protection.
B. Intérêt
Bait & Switch propose un système intermédiaire jouant le rôle de passerelle antre l’extérieur et le réseau à protéger. Cette passerelle a la possibilité de repérer tout trafic malveillant par le biais de techniques de détection d’intrusion. A chaque tentative d’intrusion constatée, la pile IP la redirige vers le faux système. Cependant, des efforts sont encore à faire pour améliorer la furtivité du honeypot (facilement détectable par des pirates initiés).
14
Néanmoins, ce concept est très apprécié de part sa nouveauté :en plus de jouer le rôle d’un IDS regardant et ana lysant, il permet également d’interdire à la volée des flux comme le ferait un bon firewall.
V. HoneyTokens
A. But
Ce concept est très simple. Il a pour but de mettre en place des ressources informatiques qui n’attentent que d’être consultées. La moindre tentative d’accès sera considérée comme une alerte de sécurité.
B. Intérêt
C’est un concept simple et facile à mettre en place. Cependant, il ne sert qu’à savoir si une intrusion a eu lieu.
VI. Wireless Honeypots
A. But
Leur but est la sécurisation des réseaux sans fil.
B. Intérêt
Les moyens actuels de sécurisation d’un point d’accès Wi-Fi, filtrage d’adresse MAC ou WEP, n’empêchent pas les pirates de s’y connecter. Pour y remédier, soit on ajoutes des mécanismes de sécurité, indépendants de la technologie sans fil, soit on essaie de leurrer les pirates.
15
Partie3 INSTALLATION SOUS LINUX ET WINDOWS
16
I. Honey et Windows
A. Back Officer Friendly dir BOF
BOF est un freeware créé par Network Flight Recorder (NFR). Il permet de détecter un pirate et de lui simuler une réponse et il conserve toutes les requêtes des clients. Pour obtenir BOF, il suffit de le télécharger le fichier back-officer-friendly.tar sur le site X. Ce fichier contient un exécutable nfrbofl.exe qui installe après quelques clique de confirmation BOF. Pour le démarrer , il faut cliquer sur l’agent de police noir de la barre des tâches suivante : Un clique droit sur l’icône te donne :
La console Elle s’obtient : soit par un double clic gauche sur l’icône soit par “Details” dans le menu que l’on vient de voir. Elle ressemble à :
Pour ouvrir la console Pour simuler les serveurs (je vais expliquer en dessous) Pour quitter
Coche : écoute sur le port….
Toujours pour demander de simuler les serveurs
17
Différence entre Simulation et écoute : Quand on coche un serveur ( Listen for Telnet par exemple ), cela n’ouvre que le port associé et signale dans la console (expliquer plus loin ) que quelqu’un (l’IP est signale) essaie de se connecter à ce service. Mais cela ne retourne rien à la personne ( pirate éventuel ). Maintenant, si en plus on coche Fake replies, tu demande a BOF de répondre comme si le service (exemple telnet) était réellement lancé. Le pirate est donc piégé. Dans le cas d’un telnet ou d’un pop3, BOF affiche les login et mot de passe saisis.
Simulations : Au départ :
18
TELNET : On coche Fake replies et listen for telnet dans la console BOF
Si on tente de se connecter au serveur telnet. On peut voir :
On remarque que BOF demande bien (comme pour un vrai telnet) le login et le mot de passe mais que ceux-ci sont toujours refusés.
IP du pirate login utilise pour l’attaque password
19
HTTP: On coche Fake replies et listen for http dans la console BOF
IP du pirate requête au serveur
Le serveur renvoie tjs 401 – Authorization failed
20
Un dernier exemple : Incluant le serveur smtp POP3
Conclusion BOF n’est pas très furtif et complet mais il est un honeypot facile à installer et à utiliser. C’est le candidat idéal pour les débutants
B. Specter
Présentation
Specter est un logiciel commercial de la société Suisse NetSec (www.netsec.ch). Nous ne ferons qu’une présentation du logiciel et les commentaires rapportés car la licence coûte 900 euros et le coût matériel est estimé à 2000 euros. Ce honeypot de production est toutefois l’un des moins cher pour les entreprises et son installation et sa configuration ne nécessite pas trop de connaissances.
Son principe est de simuler un OS et d’émuler 14 services (SMTP, FTP, TELNET, FINGER, POP3, IMAP4, HTTP, SSH, DNS, SUN-RPC, NETBUS, SUB-7, BO2K, Generic Trap) sur leur ports habituels. Il s’installe facilement en le téléchargeant par email (5 MO) mais son utilisation doit être confié à un technicien.
Attaques et intrusions peuvent être signalé par SMS ou emails et sa gestion peut se faire à distance.
Son interface graphique est la plus ergonomique possible : elle permet de configurer rapidement le pot de miel, de mettre en place les services souhaités (faux serveurs TELNET, HTTP, SMTP) ou de consulter les traces d’attaques (identité, liste des opérations effectuées et domaine (DNS et IP). Les attaques sont analysées grâce aux collectes des différents honeypot mais le suivi d’un pirate ne dépasse pas 15 rebonds d’IP.
Les principaux inconvénients Il ne se substitue pas à la pile IP native : Si specteur simule un serveur linux, un simple logiciel téléchargeable nmap , permet de connaître sur la pile que le serveur est installé sous windows. Il faut donc simuler la machine hôte (celle qui héberge le pot de miel) car quelques soit l’OS simulé, l’attaquant voit l’OS de la machine support Le service SMTP est mal simulé: les commandes EXPN et VRFY renvoient toutes les 2 des messages d’erreur. (Le logiciel languard permet en 3min à l’attaquant de découvrir à l’aide de ces commandes que c’est un honeypot) Simule un seul système d’exploitation à la fois Ne veille que des ports programmés.
Les principaux avantages La simulation des services TELNET et HTTP est très bien supportée. Un test avec NMAP permet d’obtenir la liste des ports ouverts et avec whisker on scanne les faiblesses du serveur. Déploiement rapide Excellente capacité de détection Format des logs très interprété et aisément exploitable Probabilité de compromission faible.
22
Specter ne donne pas une meilleure sécurité. Il convient dans un cadre de sécurisation d’un site opérationnel en étant déployer à 2 ou 3 endroits du réseau pour faire office de sentinelle.
23
Les principaux écrans Annexe1 : Interface graphique de Specter
24
Annexe 2 : Liste des log de Specter
25
Annexe 3 : Liste des incidents rencontrés par Specter
II. Honeypots et Linux
A. Présentation de « HONEYD », le logiciel sous Linux Le démon honeyd (Niels Provos) est capable de simuler des machines et des réseaux virtuels afin de leurrer les pirates. Il peut en effet héberger jusqu'à 65536 hôtes virtuels ! Cela permet donc a l’utilisateur de créer de vastes architectures réseau complexes et longues à explorer. Toutes ces hôtes peuvent être configurés à différents niveaux afin d’accroître le réalisme d’un tel leurre : systèmes d’exploitations services (serveur web, mail, TCP / UDP…) Avec ce logiciel, on peut aussi créer des réseaux complets, c'est-à-dire avec la notion supplémentaire de « routage » : création de sous réseaux engendrant sous réseaux… L’émulation de « lenteur » ou de « pertes des données » est ainsi possible. Nous testerons donc ce logiciel gratuit qui est donc orienté vers la simulation de réseaux et systèmes. C’est donc un « pot de miel » dite à faible interaction.
B. Tests
Sans configuration Voici notre configuration utilisée : Un poste « Test » qui est sur le réseau 192.168.0.0/255.255.255.0 Un poste « Honey » qui héberge une fausse machine en 192.168.0.50 On lance honeyd sur Honey (le pot de miel) Le fichier de config est vide Voici ce que nous voyons : ------------------------------------------------------------------------------------ Honey# honeyd -d -i eth0 192.168.0.0/24 -f config honeyd[1748]: started with -d -i eth0 -f config 192.168.0.0/24 honeyd[1748]: listening on eth0: ip and (dst net 192.168.0.0/24) ------------------------------------------------------------------------------------ Afin de voir la réaction de notre honeyd, on lance un sniffer sur le réseau (sur l'un ou l'autre des postes) : ------------------------------------------------------------------------------------ Test#tcpdump -i eth0 tcpdump: listening on lo ------------------------------------------------------------------------------------ Et on fait un « ping » sur la machine Test afin de voir ce qu’il y a derrière Honey… ------------------------------------------------------------------------------------ Test#ping 192.168.0.50 -c 1 ------------------------------------------------------------------------------------
27
Voici la réaction de la machine Honey : ------------------------------------------------------------------------------------ honeyd[1748]: Sending ICMP Echo Reply: 192.168.0.50 -> 0.0.0.0 honeyd[1748]: No reverse routing map for 192.168.0.50 honeyd[1748]: No route to 192.168.0.1 ------------------------------------------------------------------------------------ Il intercepte le trafic sur le réseau indiqué mais ne peut pas répondre -> normal puisque nous n’avons pas fait de fichier de config. Sur le poste Test, on peut constater la bonne transmission des paquets (ping) ------------------------------------------------------------------------------------ --- 192.168.0.50 ping statistics --- 1 packets transmitted, 0 packets received, 100% packet loss ------------------------------------------------------------------------------------ NOUS REMARQUONS QUE SANS FICHIER DE CONFIG, LES RESULTATS RENVOYES SONT NEANT. LE PIRATE NE PEUT DONC PAS S’Y PERDRE !!!
Avec une configuration « basique » Voici le fichier de config : ------------------------------------------------------------------------------------ create default set default personality "Linux 2.4.7 (X86)" set default default tcp action reset set default default udp action reset bind 192.168.0.50 default ------------------------------------------------------------------------------------ Explications : Il existe une entrée réseau pour une ip 192.168.0.50 On crée un template par défaut (sans config particulière) On indique qu'il existe effectivement une machine sur 192.168.0.50 qui réagira selon le template « default » La personnalité correspond à des modèles de machines prédéfinis (on peut évidemment en définir de nouveaux). Cela permet d'imiter les signatures réseaux des systèmes ! Par défaut, on bloque toutes les connections (comportement assez réaliste !) On relance le honeyd pour prendre en compte la nouvelle configuration… et on « ping » de nouveau la machine Honey. Voici ce que nous voyons sur la machine Honey : ------------------------------------------------------------------------------------ honeyd[1814]: Sending ICMP Echo Reply: 192.168.0.50 -> 192.168.0.1 honeyd[1815]: dump reseau 192.168.0.1 > 192.168.0.50: icmp: echo request (DF) 192.168.0.50 > 192.168.0.1: icmp: echo reply ------------------------------------------------------------------------------------
28
La réaction sur la machine test parle d’elle-même : ------------------------------------------------------------------------------------ PING 192.168.0.50 (192.168.0.50): 56 data bytes 64 bytes from 192.168.0.50: icmp_seq=0 ttl=255 time=2.6 ms --- 192.168.0.50 ping statistics --- 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 2.6/2.6/2.6 ms ------------------------------------------------------------------------------------ Nous pouvons donc cette fois interroger (par ping) la machine virtuelle.
Tests plus avancés avec la config précédente Nous allons scanner les ports de la machine Honey a partir de la machine Test Commande : nmap 192.168.0.50 –O –sT � -sT : scan par paquets tcp � -O : reconnaître le système distant par la signature de réponse Résultat : ------------------------------------------------------------------------------------ Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ ) Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port All 1554 scanned ports on (192.168.0.50) are: closed Remote OS guesses: Linux Kernel 2.4.0 - 2.4.17 (X86), Linux 2.4.7 (X86) Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds ------------------------------------------------------------------------------------ On peut remarquer que la commande nmap n'a pas trouve de port ouvert car nous avions tout bloqué. Cela nous signale que la reconnaissance de signature de système sera peu fiable : il a tout de même reconnu le système ! Sur la machine Honey, on constate un nombre conséquent de logs qui signalent l'arrivée de connexions et la réponse adaptée : ------------------------------------------------------------------------------------ honeyd[1866]: Killing attempted connection: tcp (192.168.0.1:36136 - 192.168.0.50:946) ------------------------------------------------------------------------------------ Honeyd bloque toutes les demandes de cette façon.
29
Config encore plus avancée : avec une machine virtuelle Voici le fichier de config qui représente un Windows 2000 avec quelques services... ------------------------------------------------------------------------------------ create win2k set win2k personality "Windows 2000 Professional, Build 2128" set win2k uptime 1728650 add win2k tcp port 80 "sh scripts/web.sh" add win2k tcp port 21 "sh scripts/ftp.sh $ipsrc $dport" set win2k default tcp action reset bind 192.168.0.50 win2k ------------------------------------------------------------------------------------ Comme pour les config précédente, cette machine est « pingable » ------------------------------------------------------------------------------------ Test#ping 192.168.0.50 PING 192.168.0.50 (192.168.0.50): 56 data bytes 64 bytes from 192.168.0.50: icmp_seq=0 ttl=64 time=0.5 ms 64 bytes from 192.168.0.50: icmp_seq=1 ttl=64 time=0.5 ms 64 bytes from 192.168.0.50: icmp_seq=2 ttl=64 time=0.5 ms --- 192.168.0.50 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 0.5/0.5/0.5 ms ------------------------------------------------------------------------------------ Voyons ce que le nmap va nous montrer cette fois ci… ------------------------------------------------------------------------------------ Test#nmap 192.168.0.50 -O -sT Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ ) Interesting ports on (192.168.0.50): (The 1552 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 80/tcp open http Remote operating system guess: Windows 2000 Professional, Build 2128 Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds ------------------------------------------------------------------------------------ Nous allons tester les ports ouverts…
30
Testons le service FTP ------------------------------------------------------------------------------------ Test# ftp 192.168.0.50 Connected to 192.168.0.50. 220 Voyager4.applille FTP server (Version wu-2.6.0(5) Sun Jan 11 01:43:40 CET 2004) ready. Name (192.168.0.50:root): root 530 Please login with USER and PASS. SSL not available 530 Please login with USER and PASS. Login failed. ftp> user (username) root 530 Please login with USER and PASS. Login failed. ------------------------------------------------------------------------------------ On remarque que même le « root » n’existe pas, on se fait rejeter… C'est donc un service plus que simplifie qui est émulé. Testons le service HTTP ------------------------------------------------------------------------------------ Voyager4:~/honeyd/scripts# telnet 192.168.0.50 80 Trying 192.168.0.50... Connected to 192.168.0.50. Escape character is '̂]'. HTTP/1.1 404 NOT FOUND Server: Microsoft-IIS/5.0 P3P: CP='ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI' Content-Location: http://cpmsftwbw27/default.htm Date: Thu, 04 Apr 2002 06:42:18 GMT Content-Type: text/html Accept-Ranges: bytes <html><title>You are in Error</title> <body> <h1>You are in Error</h1> O strange and inconceivable thing! We did not really die, we were not really buried, we were not really crucified and raised again, but our imitation was but a figure, while our salvation is in reality. Christ was actually crucified, and actually buried, and truly rose again; and all these things have been vouchsafed to us, that we, by imitation communicating in His sufferings, might gain salvation in reality. O surpassing loving-kindness! Christ received the nails in His undefiled hands and feet, and endured anguish; while to me without suffering or toil, by the fellowship of His pain He vouchsafed salvation. <p> St. Cyril of Jerusalem, On the Christian Sacraments. </body>
31
</html> Connection closed by foreign host. ------------------------------------------------------------------------------------ Ici aussi le service est très simplifié… en effet, quoique l’on demande, on obtient toujours cette page html…
C. Conclusion La documentation de honeyd encourage vivement les utilisateurs à développer leurs propres scripts et à les partager; plusieurs défis sont d'ailleurs lancés à ce sujet. Les scripts fournis ne sont que des exemples qui ne tromperaient pas réellement un hacker. Il est facile d'écrire de nouveaux scripts, puisque tout exécutable linux peut faire l'affaire. Nous ne travaillerons pas d'avantage ici l'écriture de scripts, qui est du développement plus que de l'utilisation de honeypot proprement dite.
32
Partie4 LES PROJETS « HONEYPOTS »
33
Ces dernières années, la communauté de la sécurité informatique a accordé un intérêt grandissant aux honeypots. Comme souvent face à une technologie nouvelle, elle s’est organisée en projets.
I. Le projet “HONEYNET”
La recrudescence d’intérêt pour les honeypots est principalement due au développement du concept de honeynet par Lance Spitzner, avec le projet « Honeynet ». Un groupe de réflexion sur les honeynets composé de professionnels de la sécurité informatique s’est formé et donna naissance officiellement au projet Honeynet en juin 2000. Le projet développe ses objectifs en 3 points :
- Déclencher une prise de conscience sur la réalité des menaces existant aujourd’hui sur Internet.
- Enseigner et informer en dévoilant les méthodes et les motivations des pirates.
- Faciliter la recherche sur le sujet en diffusant leurs propres outils.
Un autre aspect extrêmement instructif du projet Honeynet est l’ensemble des challenges soumis pour étude : analyse de scan, analyse « post mortem » et reverse engineering. Le déroulement de ce projet suit 4 phases :
- 1999-2001 : capture et étude de plusieurs attaques en utilisant des honeynets de 1ère génération (GenI). La démonstration définitive du danger des installations par défaut des systèmes et des applications a été faite.
- 2002-2003 : amélioration des dispositifs utilisés dans les honeynets pour les rendre plus difficiles à détecter et plus efficaces dans la récupération d’informations à l’aide de GenII et des honeynets virtuels.
- A partir de 2003 : création d’un CD-ROM bootable permettant à quiconque de mettre en place facilement un honeynet.
- création de systèmes de centralisation et de corrélation des informations recueillies des honeynets distribués.
34
II. La Honeynet Research Alliance
Emanation de projet « Honeynet », cette alliance s’est mise en place en 2002. L’objectif est de regrouper plusieurs organisations universitaires, gouvernementales, commerciales et militaires pour développer une infrastructure de honeynets distribués. Cela permettrait d’en faciliter le déploiement et ainsi de « mieux partager les découvertes et les expériences sur le sujet des honeynets. Cette alliance participe surtout à un meilleur déploiement géographique, avec une présence sur plusieurs continents.
III. Le projet HOSUS (HONEYPOT SURVEILLANCE SYSTEM)
Internet est un domaine international, et il est difficile d’identifier et de
poursuivre les attaquants. HOSUS, décrit par Lance Spitzner en décembre 2002 comme un déploiement possible pour les honeypots, propose de déployer des honeypots disséminés sur Internet, étudiant passivement l’activité des attaquants. Le choix des honeypots présente un avantage majeur : le fait qu’ils ne fournissent aucune activité de production et donc réduisent le nombre de faux positifs. Pour faciliter le déploiement rapide de HOSUS, il semblerait que le projet s’oriente vers la création d’un CD-ROM bootable proposant un certain nombre de services et une centralisation des logs.
IV. D’autres projets
• « Honeypots : Monitoring and Forensics“ est un site de recherche sur le sujet. Il fournit notamment des études sur la surveillance d’activité grâce à un shell modifié ou l’utilisation de VMware pour les honeypots.
• « Distributed Honeypot ». • « Florida Honeynet PROJECT pour la création d’un honeypot entièrement
déguisé : mise en place d’un honeynet en créant une fausse entreprise ou organisation qui sera une couverture pour un honeynet et qui disposera d’un réseau de classe C avec une connexion de type T1.
35
Partie5 GLOSSAIRE
36
A
AIDE Advanced Intrusion Detection Environment : Variante de l’IDE, en
plus développé. ARP Address Resolution Protocol : ce protocole permet de traduire des
adresses IP 32 bits en adresse Ethernet de 48 bits. B
BSD Berkeley Software Distribution. L’université de Berkeley est connue dans le monde Unix pour les nombreux logiciels qu’elle a développée puis mis dans le domaine public. BSD désigne en particulier une famille de versions Unix.
Buffer Overflow
Débordement de tampon. Problème de sécurité causé par l’absence de contrôle de ce qu’on écrit dans un tampon. Une fois l’extrémité du tampon atteinte, d’autres données sont écrasées. Il y a souvent une chance pour que ces données soient exécutées. Si le contenu du tampon a été fourni par un utilisateur, alors tout est possible.
D
Déni de service
(DOS) Technique d’attaque consistant à saturer de fausses requêtes un service pour empêcher les demandes d’être servies. Pour plus d’efficacité, l’attaque peut être distribuée.
Demon Originellement Daemon : Disk And Execution MONitor. Programme réalisant des tâches de fond du système, sous Unix. En temps normal, son fonctionnement ne doit pas être remarqué par l’utilisateur.
DNS Domain Name Server ou Domain Name System. Service essentiel de l’internet assurant la conversion des noms de domaines en adresse IP. L’intérêt essentiel est de disposer de noms de machines plus faciles à mémoriser.
E
Emuler Pour un système, cela signifie fonctionner comme un autre
système alors qu’il n’a pas été fait pour cela à l’origine. F
Firewall Barrière permettant d’isoler un ordinateur d’un réseau (tout en ne le
débranchant pas complètement) pour éviter tout piratage. En général, c’est une petite machine sous Unix qui ne contient pas de données sensibles, et étant très surveillée ; les machines par derrière ne l’étant pas vraiment.
Faux-positif Dans le cadre de la lutte contre de spam, un faux positif est un message légitime considéré à tord comme une chose à détruire par un système de filtrage automatique.
37
FTP File Transfer Protocol :Protocole de transfert de fichier . H
Honeypot Dispositif conçu pour attirer les guêpes sur un réseau et les piéger.
Cela peut être par exemple une machine apparaissant délibérément peu sécurisée et donc facile à pirater, mais en fait très surveillée.
Honeyd (Honeypot) Simulateur de réseaux Honeynet (Honeypot) honeypot où l’on propose le vrai service sur une
machine plus ou mouns sécurisée à la différence de simuler des services sur une machine sécurisée.
I
IDS Intrusion Detection System :système de détection des intrusions,
en quelque sorte, la base de toute politique de sécurité informatique.
IDE Intrusion Detection Environment : variante de l’IDS, un peu plu développée.
IISEmulator (honeypot avec faible interaction) outil développé par RFH, visant à reproduire le comportement du servuer web IIS de Microsoft.
IPS Intrusion Prevention System IRC Serveur Internet Relay Chat: serveur permettant de dialoguer en direct avec
plusieurs personnes. M
MIDS Misure Intrusion Detection System : Système de détection des
intrusions dans un réseau, se basant sur l’analyse des signatures des éléments du réseau.
Adresse MAC Adresse identifiant un élément actif sur un réseau(au niveau 2 OSI).
N
NIDS Network Intrusion Detection System : systeme de détection
d’intrusions dans un réseau. NFS Network File System : c’est un système de gestion de fichiers de
réseau défini par un protocole sans connexion. NAT Network Address Translation. Méthode de traduction d’adresses IP
non routables en adresses routables et inversement, et qui permet de connecter de nombreuses machines au réseau en n’utilisant qu’un minimum d’adresses officielles.
O
Overflow Dépassement de capacité. Erreur se produisant à la suite d’u calcul quand des chiffres significatifs sont perdus par manque de
38
précision dans le format de stockage des données, celui ci n’ayant pas suffisamment de place pour stocker toute information.
P
Pare-feu Equivalent de firewall Pirate Bandit qui parcourt les RAM et les ROM pour déplomber des
programmes, puis les copier et/ou les distribuer illégalement, ou encore pour piller des informations.
Production Un matériel ou un logiciel est dit en production lorsqu’il exécute des taches liées au monde réel par opposition aux tests et autres périodes de configuration.
Passerelle Système logiciel et/ou matériel gérant le passage d’un environnement à un autre, en assurant la conversion des informations d’un format à l’autre.
Patch Ajout temporaire à un morceau de code, en général pour corriger rapidement un bug (à éviter). Le patch est utile car il est tout petit et permet de corriger des bugs sans diffuser la totalité d’un logiciel.
R
Root Nom du compte administrateur sous certains systèmes Unix. Routeur Dispositif matériel de logiciel permettant de diriger les messages
vers le bon destinataire dans un réseau. Routage Méthode d’acheminement des informations à la bonne destination
à travers un réseau. Selon les types de réseau, on envoie les données par paquets et on choisit leur chemin au coup par coup ou bien on choisit un chemin une bonne fois pour toutes.
S
Switch Espèce d’interrupteur, pas forcément physique, permettant de
basculer d’un état à un autre. spoofing « usurpation » :mystification sur un réseau. On peut faire de
l’adresse spoofing, de l’IP spoofing ou encore du web spoofing. SMB Server Message Block : protocole de Microsoft fonctionnant sous
netbios et permettant le partage des ressources à travers un réseau publié.
Sniffing Fait d’écouter une ligne par laquelle transitent des paquets de données pour récupérer à la volée (et illégalement) les paquets qui peuvent être intéressants.
Spam Courrier d’auto-promotion envoyé à des milliers de gens à travers l’internet.
Script kiddy Pirate faisant tourner une poignée de scripts pouvant lui donner un accès non autorisé à un système.
SSH Secure Shell. Shell permettant de se connecter de façon sécurisée sur une machine distante et d’y exécuter des programmes, toujours de façon sécurisée.
SSI Server Side Include : Avant d’envoyer un fichier, le serveur y inclut
39
des données particulières. T
TTL Time To Live : durée de vie d’un paquet dans un réseau, sorte de
date de péremption. Chaque fois que le paquet entre dans un routeur, son TTL est décrémenté et quand il tombe à 0, le paquet est détruit, même s’il n’est pas encore parvenu à destination.
TTY TeleTYpe. Terminal en mode caractère, sous Unix en général.
40
Partie6 CONCLUSION
41
Les honeypots ne sont pas encore franchement utilisés dans les entreprises.
En effet, cela est dû au coût en terme de ressources humaines trop important. Il est également difficile d’entrevoir à quoi vont ressembler les honeypots du
futur car ces derniers dépendent des nouvelles attaques qui’ n’ont pas encore vu le jour …
Les honeypots sont facilement plus performants et moins verbeux que les
NIDS qui doivent analyser un nombre colossal de trames. Cela est d^au fait qu’il n’ont à traiter que les flux liés aux agressions qui viennent vers eux.
De plus, il faut noter que les honeypots ne sont qu’une brique supplémentaire permettant d’obtenir des informations de sécurité complémentaires aux autres technologies en place.
