wammder

Mise en place d'un "honeypot"

2 posts in this topic

Bonjour,

à mon tour je vais contribuer à ce forum en décrivant comment mettre en place un pot de miel.Tout au long de ce poste, le pot de miel, ou honeypot, représentera un serveur SSH, mais, il est possible de le faire pour d'autres services.

Plan :

  1. Qu'est-ce qu'un honeypot / pot de miel?
  2. TARPIT
  3. Mise en place
  4. Améliorations possibles

 

1) Qu'est-ce qu'un honeypot / pot de miel ?

      L'honeypot est une méthode de défense, dans divers domaines de l'informatique, visant à attirer les attaquants sur une cible. Dans notre cas, l'honeypot est placé, sur le port 22, pour simuler un serveur SSH (Il va de soit que pour que cela puisse fonctionner le vrai serveur SSH doit être sur un autre port), et ainsi ralentir les attaquants.

 

2 ) TARPIT

      Avant de voir comment mettre en place cette solution, nous allons parler de TARPIT. TARPIT est une cible, rajoutée par l'addon xtables, à iptables (outil en ligne de commande, permettant de gérer netfilter). Cette cible permet, lorsqu'une connexion tente de s'établir avec le serveur, de renvoyer comme réponse : TCP Zero Window. Ce qui signifie : "Mon tampon de réception est plein. Ta demande sera traitée plus tard.". Donc la connexion reste en vie un certain temps.

Analysons, rapidement une capture réseau :

trame.png

      L'adresse 192.168.122.1 est le client, et l'adresse 192.168.122.86 est le serveur. Nous pouvons noter que le client essaye de se connecter sur le port : 2222 du serveur (/!\ ATTENTION : lors de cette capture j'ai utilisé le port : 2222 comme pot de miel, ce qui est inutile, à part pour tester, il faut le mettre sur le port : 22 comme il est fait dans la 3ème partie /!\).

      Les premières lignes sont le classique "Hello world" du TCP. Puis nous voyons qu'une fois la demande de synchronisation réalisée le serveur répond continuellement : [TCP ZeroWindow].

 

3 ) Mise en place

      Premièrement, comme je l'ai dit plus haut, il faut installer l'addon xtables pour iptables.

# aptitude install xtables-addons-dkms

      Ensuite, dans votre firewall il suffit d'ajouter :

iptables -t filter -A INPUT -p TCP --dport 22 -j LOG --log-prefix="ssh-honeypot : " --log-level 3
iptables -t filter -A INPUT -p TCP --dport 22 -j TARPIT

      Donc grossièrement ce qui passe ici, si une connexion tente de se faire sur le port : 22, on enregistre tout ça grâce aux logs, et ensuite on utilise la cible TARPIT.

 

4 ) Améliorations possibles

      Plusieurs améliorations peuvent être envisagées. Il serait possible d'utiliser Fail2Ban pour bannir les adresses IP qui tentent de se connecter sur le pot de miel. Mettre d'autres honeypots à la place d'autres services qui ne sont pas présent, ou pas sur leurs ports d'origines.

 

Voilà, si vous avez des questions, remarques, ou autres...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now