Articles précédents : Sécurité
- [20] La suite Sentry de retour sous licence GPL/CPL
- [8] Un nouveau magazine chez votre libraire : hackin9
- [61] Le proxy d'accès à Google victime de son succès.
- [273] Le développeur principal d'xMule poursuivi en justice
- [14] Faille de sécurité pour les noyaux < 2.4.21
- [48] Xbox : jour de l'indépendance
- [7] RMLL 2003 : Thème Sécurité
- [84] Des vulnérabilités des Linux 2.4 permettent un DoS distant
- [27] Exec Shield: protection contre les débordements de tampons
- [33] Jurisprudence Tati/Kitetoa ?
Liens connexes
- L'article complet sur SecurityFocus.com. (711 hits)
- Le précédent article, ralentir les worms avec le patch TARPIT. (455 hits)
- La dépêche de DLFP pointant vers ce premier article. (457 hits)
Dépêche modérée par
Sécurité : Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par Brunus (). Modéré le 27 octobre 2003.
Cette fois, c'est l'utilisation de deux type de honeypots différents, dont le démon honeyd, qui est détaillée, dans le cadre de la lutte contre les vers.
Le but étant de : piéger le ver pour l'étudier, ralentir sa propagation, déclencher des alarmes, prendre différentes mesures de protection, et même le contrer en désinfectant le système source de l'attaque.
En fin d'article, on a droit à un exemple de désinfection de Blaster.
![[en]](../../../images/en.png)
L'article complet sur SecurityFocus.com. (711 hits)-
Le précédent article, ralentir les worms avec le patch TARPIT. (455 hits)
![[fr]](../../../images/fr.png)
La dépêche de DLFP pointant vers ce premier article. (457 hits)
> Lire la suite (12 commentaires, moyenne: 2,2). [dépêche : 2229 caractères]
Le deuxième type est le démon honeyd, qui simule un système attaquable, et qui est capable de répondre à l'attaque.
Dans certains cas, le honeypot, s'il s'agit d'une machine sacrifiée (un système complet, pas patché contre les attaques connues), peut être perdu dans la bataille, mais au moins il aura peut-être servi à piéger le ver et permettre son étude.
En effet, certains virus sont capables de "comprendre" qu'ils sont piégés par un hôte simulé, et ils disparaissent sans laisser de trâces.
Dans le cas d'un hote simulé (honeyd), le honeypot peut détourner du réseau les attaques du ver, en simulant de multiples hôtes, et prendre d'autres mesures de protection comme déclencher des alarmes, tuer le traffic du ver sur le réseau, etc.
Ces techniques, comme l'isolement automatique d'un segment de réseau, ou le blocage automatique d'un port sur un switch, peuvent poser quelques problèmes (!) dans le cas de faux positifs... on imagine bien pourquoi...
Il est donc préférable de les mettre en oeuvre uniquement pour les virus clairement identifiés et dont les actions sont bien connues.
Le pot de miel peut aussi contrer, en utilisant la faille exploitée sur l'hôte source de l'attaque, qui bien entendu est vérolé... et éventuellement le désinfecter. cf : l'exemple de désinfection de Blaster dans l'article de SecurityFocus.org
On peut imaginer que honeyd peut ainsi protéger la machine sacrifiée (sacrificial lamb), contre les attaques de virus connus, et automatiquement la désinfecter... de façon à la laisser saine et utilisable, comme piège, contre des virus non encore identifiés.
Attention ! Cette méthode de désinfection automatique de l'hôte attaquant n'est utilisable légalement que dans les limites du ou des réseaux gérés par l'administrateur du honeypot.
Le fait d'utiliser une faille de sécurité contre un hote ne vous appartenant pas, même pour le désinfecter, reste illégale.
C'est d'ailleurs précisé dans l'article...
Les pots de miel ne sont pas les seuls joujous capables de réagir à une intrusion, il sont complémentaires des systèmes de detection habituels (IDS).
Re: Le démon honeyd, utilisation des pot de miels contre les vers.
marche po le lien :(
et pas d'info sur le site de securityfocus...
Il [e2fsck] a bien démarré, mais il m'a rendu la main aussitot en me disant "houlala, c'est pas beau à voir votre truc, je préfèrerai que vous teniez vous même la tronçonneuse" (traduction libr
-
[+] [^]Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par arapaho () le 27/10/2003 à 12:57. (lien). Évalué à -3.Hop je me rends sur le site de SecurityFocus, ok le lien est pas bon. Mais ce n'est pas grave.
Alors la je vais faire une manip qui demande un cerveau immense, qui fait également preuve d'une grande autonomie et je me rends sur la page d'accueil de SecurityFocus. Et la, wow, je vois l'article Slow Down Internet Worms With Tarpits. Ha ? Aurais-je fais preuve d'une immense imagination afin de trouver cet article. Je ne pense pas.
Par contre je me rend compte la critique des autres ne demande pas de grands efforts, c'est ce que je suis en train de faire .....-
[^]Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par LunaNova () le 27/10/2003 à 13:06. (lien). Évalué à 7.Sauf que l'article que tu trouves c'est le deuxième lien qui est bon.
Dans le premier remplace .org en .com et tout rentre dans l'ordre :)
http://www.securityfocus.com/infocus/1740(...)-
[^]Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par Brunus () le 27/10/2003 à 14:08. (lien). Évalué à 4.Merci à toi.
Je suis pourtant certain d'avoir fais un copier/coller de l'url dans la case de saisie du lien...au moment ou j'ai posté la news, l'article sur les honeypots existait bien sur le .org
Ce qui est vachement étrange c'est que le .org semble être revenu à deux mois en arrière pendant le week-end...ou alors...je dois aller consulter d'urgence...
-
-
[^]Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par saorge () le 27/10/2003 à 13:08. (lien). Évalué à 5.Mis à part le ton trop sarcastique, cela aurait pû être didactique. Que celui qui n'a jamais envoyé un commentaire trop vite lui jette la première pierre.
Mais bon, mis à part la forme, dans le fond, tu as raison ;-))-
[^]Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par -=[ Benoit Plessis ]=- (page perso, ) le 27/10/2003 à 13:29. (lien). Évalué à 2.non parce que l'article qu'il cite n'est pas l'article sur les honeypots.
Apparement le .org et le .com ne sont pas synchronisés.--
Il [e2fsck] a bien démarré, mais il m'a rendu la main aussitot en me disant "houlala, c'est pas beau à voir votre truc, je préfèrerai que vous teniez vous même la tronçonneuse" (traduction libr
-
-
[^]Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par -=[ Benoit Plessis ]=- (page perso, ) le 27/10/2003 à 13:33. (lien). Évalué à 5.Pour rester dans le même ton, apprend à lire l'anglais !!!!
'Slow Down Internet Worms With Tarpits' ce ne veut pas dire la meme chose que 'Fighting Internet Worms With Honeypots'.
Qu'on me critique en disant qu'il y a deux sites securityfocus Ok je veut bien j'etait pas au courant, mais la ...
Apprend que lorsque l'on critique on essaye de faire un peut attention a ce que l'on dit, surtout quand on prend ton ton, pour eviter de se prendre un retour de flamme.--
Il [e2fsck] a bien démarré, mais il m'a rendu la main aussitot en me disant "houlala, c'est pas beau à voir votre truc, je préfèrerai que vous teniez vous même la tronçonneuse" (traduction libr-
[^]Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par arapaho () le 27/10/2003 à 15:48. (lien). Évalué à 0.Ha oui j'avais oublié, il reste certains farouches avec qui il faut emloyer le ton noble afin d'entretenir une certaine communication. Si on peut appeler ca une communication.
Donc je récapitule, tu as le droits de faire une erreur et de critiquer, pas moi. Très bien j'ai compris. Merci du conseil au fait, j'en tiendrai compte et l'inclue dans ma faible experience de la vie.
-
-
[+] Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Je ne comprend pas, le premier lien que je donne est le bon, pour ce qui est e l'article sur les honeypots. Mais impossible de le charger en clickant sur le lien de la news. Par contre, en le copiant dans directement dans la barre de nav d'un browser, il se charge.
J'espère que pour vous aussi, et que ce que je vois ne viens pas de mon cache.
http://www.securityfocus.com/infocus/1740(...)
-
[^]Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par -=[ Benoit Plessis ]=- (page perso, ) le 27/10/2003 à 14:45. (lien). Évalué à 5.non le probleme est que le premier liens est sur securityfocus.org au lieu d'etre sur securityfocus.com.
Apparement le .org a eu un soucis recement parce que pour lui le dernier article est justement celui sur les TARPITS :).--
Il [e2fsck] a bien démarré, mais il m'a rendu la main aussitot en me disant "houlala, c'est pas beau à voir votre truc, je préfèrerai que vous teniez vous même la tronçonneuse" (traduction libr
Cette page a été générée par Templeet en 0.0851s (dont 0.0103 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.