Accédez à nos cours concernant des domaines et thématiques différentes. Vous pouvez aussi contribuer en rédigeant des articles.
Consulter les coursParcourez notre annuaire d’écoles, instituts et universités du monde. Si votre école n’est pas listée, vous pouvez l’ajouter très facilement.
Consulter les écolesAccédez à notre messagerie instantanée pour échanger avec d’autres membres inscrits et aussi les invités. Aucune inscription n’est obligatoire.
Accéder au tchat“Le présent article n'a pas encore été revu par un modérateur, pour cela veuillez faire attention quant à son contenu, que nous ne pouvons pas vous garantir son exactitude.”
Cet article va vous initier aux honeypots en vous donnant les caractéristiques ainsi que les avantages et inconvénients de tels systèmes.
Les "deception systems" (aussi connus sous les noms de leurres, trappes, et honeypots) possèdent des pseudo-services dont le but est d'émuler des vulnérabilités connues afin de piéger les intrus. Mais revenons à nos moutons, un honeypot (ou "pot de miel") est un système conçu pour se faire passer pour quelque chose qu'un intrus peut pirater. Voici quelques exemples :
1. Installer une machine sur le réseau dont le but est uniquement d'enregistrer toutes les tentatives d'accés.
2. Installer un ancien système d'exploitation non-patché sur une machine. Par exemple l'installation par défaut de WinNT 4 avec IIS 4 peut être piratée par plusieurs techniques d'intrusions. Un système de détection d'intrusion standard peut alors être utilisé pour enregistrer les attaques à l'encontre de la machine, et ainsi examiner ce que l'intrus a tenté de faire avec le système, une fois celui-ci compromis.
3. Installer un logiciel spécial dédié à ce but. Ceci a l'avantage de faire croire à l'intrus qu'il a réussi sans qu'il ait vraiment accès à quoi que ce soit.
4. N'importe quel système peut être transformé en honeypot, sur WinNT par exemple, il est possible de renommer le compte "administrateur", puis de créer un compte factice nommé "administrateur" ne possédant pas de mot de passe. WinNT permet une analyse complète des activités d'une personne, alors ce honeypot traquera les tentatives d'intrusion et d'exploitation du pirate.
1. Les NIDS (Network intrusion detection systems) ont des difficultés pour distinguer le trafic hostile du trafic bénin. Les honeypots isolés ont en toute logique bien plus de facilités puisque ce sont des systèmes auxquels on ne devrait normalement pas accéder. Cela signifie que tout trafic arrivant sur un honeypot est déjà suspect. Ces systèmes donnent quand même quelque fois des erreurs, mais le taux de détection reste supérieur.
2. Les honeypots se présentent souvent comme des systèmes facilement piratables. Une des choses prédominante chez les pirates est le scan de vulnérabilités connues (ou méconnues parfois) et la collecte d'informations. Le honeypot peut être configuré pour faire croire qu'une vulnérabilité connue est présente sur le système et que celui-ci peut facilement être compromis, ce qui piégera l'intrus qui s'y intéresse de trop prés. Par exemple, le service POP3 donne la version du logiciel. De nombreuses versions de logiciels connus possèdent des vulnérabilités de type buffer-overflow (débordement de mémoire tampon). L'intrus se connecte sur le port 110, obtient la version du système, puis regarde quel exploit peut être utilisé contre cette version du logiciel afin de le pénétrer.
1. Si le système est piraté, il peut servir de base de lancement pour tenter de compromettre le reste du réseau.
2. La législation sur les honeypots est obscure, quelques personnes pensent que puisque les honeypots leurrent les pirates, les droits légaux pour poursuivre les pirates se trouvent réduits. Cependant c'est une mauvaise interprétation de la chose car les honeypots ne sont pas des leurres actifs, ils ne se montrent pas à la vue de tous. En effet un pirate peut trouver un honeypot uniquement en faisant un scan sur le réseau, la démarche est donc intégralement initiée par le pirate.
3. Les honeypots ajoutent de la complexité et en sécurité informatique, la complexité est mauvaise, elle mène à accroître l'exposition aux exploits.
4. Les honeypots doivent être maintenus comme tout service ou équipement inhérent à un réseau. Ce qui amène de nombreuses personnes à les désactiver après un certain temps. Vous pensez qu'un 468 sous RedHat Linux 4.2 que vous avez configuré il y a deux ans ne requière pas de maintenance, mais en réalité le système en a besoin. Comment vous assurez sinon que l'enregistrement des tentatives d'intrusions est toujours efficace et qu'il n'a pas été compromis par un pirate pour vous attaquer ?
 |
|
