Archive pour le mot-clef ‘Pot de miel’

Honeynet : scan of the month

Samedi 17 novembre 2007

Aujourd’hui, je mets à votre disposition mon rapport de TP multimédia réalisé au sein de l’ECE.

Le but était d’acquérir de nouvelles connaissances en Sécurité, en analysant les études réalisées par les membres du projet Honeynet.Le sujet que j’ai choisi de développer est le fonctionnement de scans de ports et des informations que l’on peut obtenir des échanges réalisés.

Voici le sujet :

Les membres de l’équipe du sud de la Floride ont générés manuellement 5 différents types de scans de ports depuis Internet vers un unique « Honeypot » (i.e. : pot de miel). Durant chacun des scans, un « IDS » (i.e. : Intrusion Detection System) capture et enregistre les évènements réseau dans un fichier de log. « Snort » est le logiciel utilisé pour la capture des scans au format « Tcpdump », via la librairie : « Libpcap ». La mission est de répondre aux questions suivantes :

  1. Qu’est-ce qu’un fichier binaire de log et comment en créer ?
  2. Qu’est-ce que le MD5 et quelle valeur produit-il ?
  3. Quelle est l’adresse IP de l’attaquant ?
  4. Quelle est l’adresse attaquée ?
  5. Identifier les 5 techniques de scans utilisées et les décrire.
  6. Quel outil de scan a été employé pour l’exercice ? Comment le déterminer ?
  7. Dans quel but scanne-t-on des ports ?
  8. Quels sont les ports trouvés ouverts ?
  9. Quel est le système d’exploitation de l’attaquant ?

Mon tutoriel est disponible ici.

Le château des illusions

Dimanche 11 novembre 2007

Mardi dernier, je suis allé passer un entretien technique dans une société de conseil en Sécurité des Systèmes de l’Information. Le responsable m’a alors fait parler de mes connaissances et de mes expériences quand lui est venu à l’idée de me tester :

Qu’est-ce qu’un “Honey Pot” ? (entendez “Pot de miel” en français)

Comme j’en avais déjà eu la description en cours et en stage, je me suis lancé dans une explication claire et succinte.

Il s’agit d’un leurre mis en place sur le réseau en général au sein d’une DMZ (accessible depuis le LAN interne & depuis l’Internet). Il est destiné à l’étude des activités anormales voire hostiles survenant sur le réseau. L’observation et la surveillance de ce système permet d’apprendre les tactiques, les motivations, ou encore les outils utilisés par les hackers sur le Net. Comme il ne s’agit pas d’un serveur de production, tous ses flux réseaux sont suspects. Ceci facilite l’analyse des données collectées. Enfin le leurre doit être suffisamment réaliste si l’on souhaite récupérer des données intéressantes. Pour conclure, il existe différents niveaux d’interaction selon que l’on souhaite analyser l’activité du réseau, ou encore observer le déroulement au niveau applicatif : fichiers téléchargés, cheminement de l’attaquant…

Pour plus d’informations à ce sujet, vous pouvez consulter le site Web du projet “Honeynet”. D’ailleurs je finalise un article sur le projet “Scan of the month” qui sera disponible à l’adresse suivante. Les thèmes abordés sont les scans et le forensic.

La réponse était valide, mais lui vînt alors l’envie de me coincer :

Connaissez-vous “le château des illusions” ?

Je fut alors honnête et lui avoua que non. Vu le contexte, je me doutais qu’il y avait une analogie au “Pot de miel”, mais je n’en étais pas certain. Le but de ce billet est donc de lever ce doute et de partager cette définition avec vous :

Il s’agit donc d’un ordinateur virtuel (inclus dans un autre bien réel) dans lequel on enferme un pirate tout en lui faisant croire qu’il n’a pas été découvert.

Sur ces écrits, je pense pouvoir aller me coucher en étant plus malin qu’hier !