Anne Universitaire 2014-2015

3me anne cycle dingnieurs Gnie Rseaux et

Tlcommunications

RAPPORT
PROJET
SUR

HONEYPOTS
DE MIEL-

Ralis Par :
Imane MSADFA
Latifa

JABER

-POT

Responsable :
Mr : Youness
ELEDRISSI
hghghghKHAMLICHI

Rapport De Projet

Table Des Matires

Aucune entre de table des matires n'a t trouve.

[2]

Rapport De Projet

1. Introduction
Dans le domaine de scurit des systmes informatiques, il est essentiel danalyser les
techniques employes par les hackers, et de savoir leurs tactiques, dtudier leurs motivations,
et ainsi leur profil. Le pot de miel est une bonne solution pour ces problmes.

1.1

Dfinition

Honeypot, ou Pot de Miel : une ressource d'un rseau qui accrot la scurit en tant
mis l'preuve, attaque ou effectivement compromise. Ce leurre permet de rcuprer des
informations des mthodes, tactiques et/ou outils des pirates.
Le fonctionnement de honeypot

Un modle typique dun honeypot inclut une machine non-production qui est mise
aprs un pare-feu et au sein des serveurs de production (DMZ Dmilitarisions Zone ,
toutes les machines dans cette zone correspondent des IPs publics par NAT Network
Address Translation ). Lide est trs simple, parce quun honeypot est un systme de nonproduction , donc nimporte trafic dentre ou de sortie est considr que ce honeypot a t
attaqu ou compromis. En utilisant cette stratgie, le nombre des informations journalises par
honeypot trs peu mais trs utile. Cest facile dtudier des attaques visant notre rseau.

Figure 1
Une

architecture de honeypot le plus simple

[3]

Rapport De Projet
1.2 Classification des Pots de Miel

On a deux manires pour classifier des Honeypots :

En destinant au type dutilisateur, on a deux types de Honeypot :

o Honeypot de production Et Honeypot de recherche.
Honeypot de production (par exemple : BOF, Specter, Honeyd) est suivant utilis
par les organisations de commerce. Ce sont les gens qui ne veulent que dtecter les
attaques qui viennent de lextrieur et liminer la capacit des attaques le plus
possible. En outre, honeypot de recherche (Par exemple : Honeynet Project) est
suivant utilis par les organisations de recherche qui veulent tracer les activits des
pirates et les organisations de recherche qui veulent tracer les activits des pirates et
les tudier.
o Concernant le niveau dinteraction entre les victimes et les pirates, honeypot est
divise dans trois types : basse, moyenne, et haute interaction. Les honeypots dans la
catgorie basse interaction ne fonctionne que pour dtecter intrusions, notifier et
suivant rarement ragissent aux pirates, ces Honeypots (Par exemple : BOF, Specter,
Honeyd) ne simulent que des services vulnrables, pas donner un OS rel. Parmi ces
Honeypots, uniquement, le Honeyd qui peut ragir par attirer les attaques, comme la
signification du mot Honeypot . Les Honeypots de type moyenne interaction
supportent plus de capacit de modifier pour sadapter nos besoins, donc il a plus de
capacit de ragir aux pirates. Les Honeypots de type haute interaction , dans le cas
de Honeynet Project, il fournit une solution de scurit globale pour un rseau en
simulant un rseau vulnrable entier.

[4]

Rapport De Projet

2 . tude des pots de miel

2 .1

Pot de Miel Faible Interaction

2.1 .1 Honneyd

Introduction

Honeyd est un pot de miel libre de type basse interaction , c'est--dire pas de
systme dexploitation rel pour permettre aux hackers dacqurir laccs de dans, il ne simule
que des services. Lors quil dcouvre un effort de connexion un IP, il falsifie cette adresse IP
mais pas offrir de systme rel et rpond au pirate avec cette adresse feint. Ds ce moment l, il
communique au hacker comme une victime. Cest la signification principale du mot honeypot
. En effet, un Honeyd peut surveiller des milles dadresse IP et simuler les IPs au niveau de IP
stack . Dailleurs, Honeyd peut simuler des systmes dexploitation diffrents
simultanment.
Techniques surveillant des IPs

Pour surveiller des IPs non distribus dans le rseau local, Honeyd applique un des deux
techniques disponibles : blackholing et ARP spoofing .
Blackholing.
Avec la technique blackholing , Honeypot est mis dans un rseau non-production , et tous
les IPs dans la classe IP du rseau sont configures dans le routeur pour re-expdier les trafics
du rseau vers le Honeypot :

ip route 10.0.0.0 255.0.0.0 10.0.0.1

La o : 10.0.0.1 est un honeypot

Figure 2 Le rseau dmontre la technique blackholing

[5]

Rapport De Projet
ARP spoofing
La technique ARP spoofing est effectue en utilisant un outil Arpd
. La fonction de Arpd est dcouter les paquets qui traversent dans le
rseau, de vrifier ladresse IP de destinateur dans les paquets si cette
adresse est distribue ou non. Pour faire a, Arpd envoie un paquet ARP
who-is (Par exemple : arp host 192.168.1.100) correspondant cet IP, si pas
de rponse, c'est--dire cet IP est une adresse non distribue. Donc, il assigne
cet IP son adresse MAC (Par exemple : arp -s 192.168.1.100
00:10:4B:70:14:E7), et annonce au routeur. Ds ce moment la, il a encore une
autre adresse IP, et communique lattaqueur avec le support du routeur (par
le tableau NAT).

Fonctionnement
Rseau virtuel dans honeyd

Figure 3 Honyed reoit des trafics pour honeypots virtuels en basant sur un proxy arp et simule au
niveau ip stack pour les systmes dexploitation diffrente

Dans cette configuration du rseau ci-dessus, honeyd est install sur la machine 10.0.0.2
(souvent sur une machine dUnix , la version sous WINDOWS est en cours de dvelopper), avec
le support dun routeur virtuel 10.0.0.1 qui est configur dans le fichier de configuration du
honeyd, ce routeur va diriger les requtes aux IPs non distribus 10.0.1.101-10.0.1.103 vers les

[6]

Rapport De Projet
machines virtuelles qui sont dfinis selon les templates dans lefichier de configuration du honeyd.

Architecture globale du honeyd

Figure 4 Schma illustre larchitecture de

honeyd.

Des paquets dentre sont expdis un traiteur de protocole. Pour TCP et UDP, les
services configurs reoivent des nouvelles donnes et envoient des rponses sil est ncessaire.
Tous les paquets de sortie sont modifis par le moteur de personnalit (pour chaque systme
dexploitation) pour imiter le comportement de la configuration de rseau. Le routeur (en cyan)
est une option et utilis si Honeyd simule une topologie de rseau .

Composants du honeyd
o Hte virtuel

- Personnalit : utiliser des empreints partir du fichier nmap ou xprobe.

- Ports :
dfinition de ractions sur chaque port et son protocole.
- Services :
dfinition des scripts combins sur chaque port et personnaliser des paramtres
chaque script.
pour chaque script.

[7]

pour

Rapport De Projet
Rseau virtuel

- Point dentre du rseau virtuel (ou routeur dentre) :

Deux sources choisies, lune cest ladresse IP de la machine sur laquelle on installe
honeyd ou lautre cest un IP virtuel gr par arpd (un daemon qui rpond les paquets arp
who is ).
- Sous rseau : ce sont des plages dIPs accessibles, si on veut configurer un sous rseau
piopioiipioioipoiohirarchique, on peut ajouter plus de routeurs virtuels et les rseaux combins
hkhjhjhjhjhjhjhjhjavec ceux.

- Liaison entre les htes et leurs @IPs : chaque hte est combin avec une adresse IP par la
dfinition bind , la suite.
Services
- Scripts feints : Ce sont les scripts crits par le but personnel de chaque personne, ces scripts
simulent un peu des ractions pour chaque type de service (par exemple : telnet, ssh ou iis
serveur). Leur but est de capturer quelques informations dans les requtes du pirate (le plus
simple est le compte ou le mot de passe ou les PAYLOADs utiliss).
- Proxy : pour bien analyser les activits du pirate, une autre faon est lexpdition dune
attaque vers une machine rel (par exemple : avec le protocole chiffr SSH, on utilise un
sniffeur ou modifie le noyau pour capturer des donnes avant quelles sont chiffrs pour
envoyer au pirate).
Un exemple du fichier de configuration du honeyd gnr par
outil RandomNet :

[8]

Rapport De Projet

Contrle des flux des requtes

Une fois que le Honeypot reconnait une attaque, il va dmarrer un service correspondant le
port de la requete dj dfinie dans son fichier de configuration.
Ce service soccupe de communiquer avec lattaqueur, tracer des activits malicieuses par
syslog (le log du systme dexploitation) ou par le script dans ce service.

Chaque service est combin avec son Template dun systme dexpoitation.

[9]

Rapport De Projet
Create Windows
set Windows pers
onality "Microsoft Windows XP Professional SP1" add windows tcp port 80
"perl /etc/honeyd/scripts/iis/main.pl"
add windows tcp port 23 proxy real-server.tracking-hackers.com:23
# bind specific IP addresses to specific templates
bind 192.168.1.200 windows

Figure5 : Un exemple dun template WINDOWS sous Honeyd

Les services feints, en effet, on peut implmenter dans nimporte langage de programmation , et le
scnario dpend du but et du niveau de trace ncessaireDonc, on peut personnaliser ces scripts par
dfaut pour sadapter les exigences spcifiques. De plus, une autre caractristique est le proxy
dans Honeyd. Un proxy permet dune connexion partir du pirate dtre dirige vers un autre
systme rel qui soccupe danalyser plus dtaill les activits du pirate.

Par exemple, une attaque sous le protocole SSH Honeypot est dirige vers
unemachine relle pour analyser facilement plus dtaill des activits en
utilisant uoutil sniffeur (Snort, par exemple).

Figure6 :Un rseau illustre la combinaison entre honeyd et Snort

Acquisition des informations

Honeyd est concu pour collecter des informations partir de deux ressources :
Syslogd et un sniffeur. En gnral, une fois ayant une communication un des

[10]

Rapport De Projet
honeypots, elle est suspecte comme une attaque. Donc, les donnes dans syslogd sur la
xcbvddmachine host sont les traces des activits malicieuses du pirate.

2.1.2

Introduction
Fonctionnement

2.1.3

Amun

Nepenthes
Introduction
Fonctionnement

2.1.4 Pentbox

2.2

Introduction
Fonctionnement

Pot de Miel Moyenne Interaction

2.2.1

Kojoney

[11]

Rapport De Projet
Kojoney est un honeypot moyenne interaction dvelopp en python et bas sur les
librairies rseau Twisted. Il mule un serveur SSH tournant sur un systme o les utilisateurs ont
des mots de passe faibles.
Certains pirates ont recours des scanneurs qui se connectent sur des adresses IP prises au hasard
et qui tentent une attaque par brute force sur les mots de passe, ciblant principalement les mots de
passe par dfaut ou ceux dont lutilisateur na pas fait preuve dimagination. Combien
dadministrateur cre un compte test avec comme mot de passe test pour tester le systme et
oublie de lenlever une fois le systme mis en production ?
Le logiciel enregistre dans des fichiers de log toutes les tentatives qui ont t faites ainsi que les
commandes lances par le pirate ds que celui-ci a trouv un des comptes utiliss par Kojoney.
Kojoney est cependant trs loin dtre parfait, un pirate ayant un niveau correct et quelques
connaissances des systmes UNIX sapercevra immdiatement du pige.
Techniquement le programme ne fait que boucler sur ce que tape lutilisateur et y rpondre quand
il en est capable. Par consquent on atteint trs facilement les limites de ce faux environnement,
par exemple il est impossible de se promener ailleurs que dans la racine (/) et le pirate ne peut pas
utiliser de programmes interactifs (emacs, vim, ftp...)....
Aucune configuration nest ncessaire, nous pouvons lancer directement kojoney. Il va se mettre
en coute sur le port 22 et va enregistrer toutes les tentatives dans le fichier /var/log/honeypot.

2.3

Pot de Miel Forte Interaction

2.3.1 Honeynet
Honeynet est un grand projet pour rechercher des attaques qui viennent de la communaut des pirates.
Lobjectif du projet est de rechercher des outils, des tactiques et des motivations des hackers.
Diffrer aux autres solutions de pot dmiel qui nmulent que des services ou modifient le noyau
dun seul systme. Avec Honeynet, aucune simulation, aucune modification, autrement dit, il
fourndes environnements rels comme Solaris, WINDOWS XP, Cisco etc .. avec leurs services
originales.

2.3.2 Introduction
Honeynet, ce nest pas un logiciel en paquetage, elle est une architecture dont
lide ressemble un seau ou les poissons sont dans le seau [2]. Honeynet est le seau et les
attaques sont des poissons. Ladministrateur observe des activitsmalicieuses par les outils
intgrs pour accomplir trois exigences suivantes : contrler des donnes, capturer des donnes et
collectionner des donnes (latroisime pour les honeynets distribus). Contrler des donnes est
de contrledes activits du pirate, dassurer quil ne peut pas compromettre des autres non-honeysystmes. Capturer les donnes pour observer ce qui sest pass dans le honeynet. Le projet
Honeynet cre un document dfinition, exigences, et standard pour prsenter de ltape

Ltape de construire un Honeynet enutilisant des outils disponibles (Snort, syslogd etc.).

2.3.3 Fonctionnement

[12]

Rapport De Projet
Honeypot projet a pass 2 architectures comprises comme Gen-I (la premire gnration en 1999) et
Gen-II(la deuxime en 2001).
Gnration I

Figure 8 Le schma du rseau de Gen I

Modle :
Comme les autres pots de miel, Gen I met un pare-feu entre le rseau local et lextrieur. Gen I spare
le rseau de Honeynet et le rseau de production pour la scurit. Toutes les donnes qui viennent ou
sortent doivent traverser le pare-feu. Dans cette architecture, le pare-feu joue un rle de contrle
des donnes. Les honeypots des systmes dexploitation diffrentes capturent les donnes
envoyes par le pare-feu.
Avantages : Gen1 a deux avantages : il capture une grande information en dtail par un systme IDS
et ainsi les ainsi les attaques inconnus.
Dsavantage : Limitation contrler et empcher le hacker avanc de compromettre les autres
systmes (il faut accepter quelques connexions de sortie pour viter la suspicion du hacker).
Ce nest pas difficile un hacker avanc de trouver quil soit dans un pot de
miel ( cause du pare-feu, le hacker peut vrifier par la commande ping, si a
TTL dcrment) et pas beaucoup de valeur pour leurrer des attaques.

Gnration II

[13]

Rapport De Projet

Figure 9 Le schma du rseau de Gen II

Modle :
Pour rsoudre la limitation de Gen I (exactement cest la limitation des connexions de sortie), Gen II
utilise un senseur Honeynet. Le senseur est la combinaison entre un pare-feu et un systme IDS,
videmment, plus facilement de le dployer. Dans ce cas l, le senseur joue un rle comme un pont
entre deux rseaux (lun Honeynet et lun de production). Avec ce senseur, le hacker ne peut pas
percevoir quiil est dans un honeypot (par la commande ping. Une grande diffrence cest que au
point de troisime couche (IP), honeynet est une partie du rseau de production. En effet, au
deuxime couche -lien de donne-, le rseau est divis par la partie de production de production et
de honeynet.

3. Exprimentations sur HoneyPots :

[14]

Rapport De Projet
3.1 Honeyd

[15]