Le démon honeyd, utilisation des pot de miels contre les vers.

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
27
oct.
2003
Sécurité
Un article sur SecurityFocus.org fait suite à la présentation de la technique des TARPITS (cf : lien vers l'ancienne dépêche).

Cette fois, c'est l'utilisation de deux type de honeypots différents, dont le démon honeyd, qui est détaillée, dans le cadre de la lutte contre les vers.
Le but étant de : piéger le ver pour l'étudier, ralentir sa propagation, déclencher des alarmes, prendre différentes mesures de protection, et même le contrer en désinfectant le système source de l'attaque.

En fin d'article, on a droit à un exemple de désinfection de Blaster. Le premier type de honeypot utilisé est un système complet, configuré pour servir d'appât (« sacrificial lamb »).
Le deuxième type est le démon honeyd, qui simule un système attaquable, et qui est capable de répondre à l'attaque.

Dans certains cas, le honeypot, s'il s'agit d'une machine sacrifiée (un système complet, pas patché contre les attaques connues), peut être perdu dans la bataille, mais au moins il aura peut-être servi à piéger le ver et permettre son étude.
En effet, certains virus sont capables de "comprendre" qu'ils sont piégés par un hôte simulé, et ils disparaissent sans laisser de trâces.

Dans le cas d'un hote simulé (honeyd), le honeypot peut détourner du réseau les attaques du ver, en simulant de multiples hôtes, et prendre d'autres mesures de protection comme déclencher des alarmes, tuer le traffic du ver sur le réseau, etc.
Ces techniques, comme l'isolement automatique d'un segment de réseau, ou le blocage automatique d'un port sur un switch, peuvent poser quelques problèmes (!) dans le cas de faux positifs... on imagine bien pourquoi...
Il est donc préférable de les mettre en oeuvre uniquement pour les virus clairement identifiés et dont les actions sont bien connues.

Le pot de miel peut aussi contrer, en utilisant la faille exploitée sur l'hôte source de l'attaque, qui bien entendu est vérolé... et éventuellement le désinfecter. cf : l'exemple de désinfection de Blaster dans l'article de SecurityFocus.org
On peut imaginer que honeyd peut ainsi protéger la machine sacrifiée (sacrificial lamb), contre les attaques de virus connus, et automatiquement la désinfecter... de façon à la laisser saine et utilisable, comme piège, contre des virus non encore identifiés.

Attention ! Cette méthode de désinfection automatique de l'hôte attaquant n'est utilisable légalement que dans les limites du ou des réseaux gérés par l'administrateur du honeypot.
Le fait d'utiliser une faille de sécurité contre un hote ne vous appartenant pas, même pour le désinfecter, reste illégale.
C'est d'ailleurs précisé dans l'article...

Les pots de miel ne sont pas les seuls joujous capables de réagir à une intrusion, il sont complémentaires des systèmes de detection habituels (IDS).

Aller plus loin

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.