Upload
mohamed-ben-bouzid
View
5.475
Download
0
Embed Size (px)
DESCRIPTION
étude comparative sur les Honeyclients
Citation preview
Projet de fin d'étude pour l'obtention du
Diplôme Nationale d'Ingénieur en Informatique
Annexe 2 : Étude comparative sur les Honeyclients Open Source
Société d'accueil : L'Agence Nationale de la Sécurité Informatique (ANSI)
Encadré par : Mme. Hela KAFFEL BEN AYED (FST)M. Sami MABROUK (ANSI)
Année universitaire 2008/2009
Élaboré par :
Mohamed BEN BOUZID
Page 2
Honeypots
Un honeypot est un dispositif de sécurité basé sur la tromperie : c'est un environnement similaire à un environnement réel qui permet de faire croire aux pirate que c'est le vrai environnement réel.
Cette technique permet :
En premier lieu d'attirer les pirates en créant des environnements avec des failles laissées volontairement qui servent comme appâts pour les pirates.
Puis, ils permettent la surveillance de tout le trafic réseau, ainsi la journalisation de tous les évènements dans ce réseau.
Enfin et après collecte d'information, les Honeypots permettent l'analyse des informations recueillies, ainsi découvrir les défaillances du réseau.
Page 3
Honeyclients
Alors que les Honeypot sont des dispositifs qui qui attendent
passivement les attaques, les honeyclients sont des dispositifs de
sécurité qui permettent la recherche des serveurs malveillants qui
attaquent les clients.
Un client honeypot ou honeyclient comporte trois composantes:
Crawler : parcoure les hyperliens pour aspirer leurs contenus.
Scanner : outils qui permet la détection des malwares dans les sites.
Analyser : outil qui permet d'analyser les malwares trouvés.
Page 4
Honeypots Vs. Honeyclients
Honeypots Honeyclients
Page 5
Faible interaction Vs. Haute interaction
Faible interaction Haute interaction
Honeypot Simulation des systèmes et des services.
De vrais systèmes et services.
Honeyclient Simulation des clients et des systèmes Web.
De vrais clients et systèmes Web.
Avantages Très rapide.Ne consomme pas beaucoup de ressources.Multithread et multi-système.Extensible.
Détection des exploits « zero day ».Analyses détaillées des attaques.Un environnement réel de détection d'intrusions.
Inconvénients Ne détecte pas les exploits « zero day »
Très lent dans l'analyse des attaques.Lourde dans le chargement.architecture complexe et peu extensible.
Page 6
Honeycients à Haute interaction
Capture - HPC HoneyClient HoneyMonkey Spycrawler Web Exploit Finder
Licence Logiciel LibreGPLv2
Logiciel LibreGPLv2
Propriétaire Propriétaire Logiciel LibreGPLv2
destination Tous les naviagteurs
Internet explorerFireFox
Internet explorer Internet explorerFireFox
Tous les naviagteurs
Outil d'analyse des malwares
Son propre outil Son propre outil Strider Tools FDR, GB, GK
Lavasoft AdAware
Son propre outil
Date de première version
2006 2004 2005 2005 2006
Version actuelle 2.5.12 Septembre 2008
1.0.2 Pas commercialisé
Pas commercialisé
2.029 Octobre 2007
Système d'exploitation
Multi OS Windows Windows Windows Virtualisation de Windows XP
Développeur Université de Welington
Mitre Microsoft Research
Université de Washington
Université de Hochschule der
Medien - Stuttgart
Page 7
Honeyclients à faible intéraction
SpyBye HoneyC HoneyD Monkey-Spider
Licence Logiciel Libre GPLv2
Logiciel LibreGPLv2
Logiciel LibreGPLv2
Logiciel Libre GPLv3
destination Tous les navigateurs
crawler HTTP, FTP, etc crawler/émail
Outil d'analyse des malwares
ClamAV Snort Libevent, libpcap, libnet, arpd
(packages sous linux)
ClamAV
Date de première version
2007 2006 2003 2006
Version actuelle
0.309 Juin 2007
1.2.013 Septembre 2008
1.5c27 Mai 2007
0.223 Mars 2009
Système d'exploitation
Multi OS Multi OS Unix/linux BSD et windows avec cyguin
Multi OS
Développeur Niels Provos Université de Welington -
Nouvelle-Zélande
Niel Provos Université de Mannheim
Page 8
Arcitecture de Monkey-Spider
InternetBase deDonnées
Antivirus Crawler