wammder Posted June 9, 2016 Report Posted June 9, 2016 Bonjour, à mon tour je vais contribuer à ce forum en décrivant comment mettre en place un pot de miel.Tout au long de ce poste, le pot de miel, ou honeypot, représentera un serveur SSH, mais, il est possible de le faire pour d'autres services. Plan : Qu'est-ce qu'un honeypot / pot de miel? TARPIT Mise en place Améliorations possibles 1) Qu'est-ce qu'un honeypot / pot de miel ? L'honeypot est une méthode de défense, dans divers domaines de l'informatique, visant à attirer les attaquants sur une cible. Dans notre cas, l'honeypot est placé, sur le port 22, pour simuler un serveur SSH (Il va de soit que pour que cela puisse fonctionner le vrai serveur SSH doit être sur un autre port), et ainsi ralentir les attaquants. 2 ) TARPIT Avant de voir comment mettre en place cette solution, nous allons parler de TARPIT. TARPIT est une cible, rajoutée par l'addon xtables, à iptables (outil en ligne de commande, permettant de gérer netfilter). Cette cible permet, lorsqu'une connexion tente de s'établir avec le serveur, de renvoyer comme réponse : TCP Zero Window. Ce qui signifie : "Mon tampon de réception est plein. Ta demande sera traitée plus tard.". Donc la connexion reste en vie un certain temps. Analysons, rapidement une capture réseau : L'adresse 192.168.122.1 est le client, et l'adresse 192.168.122.86 est le serveur. Nous pouvons noter que le client essaye de se connecter sur le port : 2222 du serveur (/!\ ATTENTION : lors de cette capture j'ai utilisé le port : 2222 comme pot de miel, ce qui est inutile, à part pour tester, il faut le mettre sur le port : 22 comme il est fait dans la 3ème partie /!\). Les premières lignes sont le classique "Hello world" du TCP. Puis nous voyons qu'une fois la demande de synchronisation réalisée le serveur répond continuellement : [TCP ZeroWindow]. 3 ) Mise en place Premièrement, comme je l'ai dit plus haut, il faut installer l'addon xtables pour iptables. # aptitude install xtables-addons-dkms Ensuite, dans votre firewall il suffit d'ajouter : iptables -t filter -A INPUT -p TCP --dport 22 -j LOG --log-prefix="ssh-honeypot : " --log-level 3 iptables -t filter -A INPUT -p TCP --dport 22 -j TARPIT Donc grossièrement ce qui passe ici, si une connexion tente de se faire sur le port : 22, on enregistre tout ça grâce aux logs, et ensuite on utilise la cible TARPIT. 4 ) Améliorations possibles Plusieurs améliorations peuvent être envisagées. Il serait possible d'utiliser Fail2Ban pour bannir les adresses IP qui tentent de se connecter sur le pot de miel. Mettre d'autres honeypots à la place d'autres services qui ne sont pas présent, ou pas sur leurs ports d'origines. Voilà, si vous avez des questions, remarques, ou autres...
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now