Cette fois, c'est l'utilisation de deux type de honeypots différents, dont le démon honeyd, qui est détaillée, dans le cadre de la lutte contre les vers.
Le but étant de : piéger le ver pour l'étudier, ralentir sa propagation, déclencher des alarmes, prendre différentes mesures de protection, et même le contrer en désinfectant le système source de l'attaque.
En fin d'article, on a droit à un exemple de désinfection de Blaster. Le premier type de honeypot utilisé est un système complet, configuré pour servir d'appât (« sacrificial lamb »).
Le deuxième type est le démon honeyd, qui simule un système attaquable, et qui est capable de répondre à l'attaque.
Dans certains cas, le honeypot, s'il s'agit d'une machine sacrifiée (un système complet, pas patché contre les attaques connues), peut être perdu dans la bataille, mais au moins il aura peut-être servi à piéger le ver et permettre son étude.
En effet, certains virus sont capables de "comprendre" qu'ils sont piégés par un hôte simulé, et ils disparaissent sans laisser de trâces.
Dans le cas d'un hote simulé (honeyd), le honeypot peut détourner du réseau les attaques du ver, en simulant de multiples hôtes, et prendre d'autres mesures de protection comme déclencher des alarmes, tuer le traffic du ver sur le réseau, etc.
Ces techniques, comme l'isolement automatique d'un segment de réseau, ou le blocage automatique d'un port sur un switch, peuvent poser quelques problèmes (!) dans le cas de faux positifs... on imagine bien pourquoi...
Il est donc préférable de les mettre en oeuvre uniquement pour les virus clairement identifiés et dont les actions sont bien connues.
Le pot de miel peut aussi contrer, en utilisant la faille exploitée sur l'hôte source de l'attaque, qui bien entendu est vérolé... et éventuellement le désinfecter. cf : l'exemple de désinfection de Blaster dans l'article de SecurityFocus.org
On peut imaginer que honeyd peut ainsi protéger la machine sacrifiée (sacrificial lamb), contre les attaques de virus connus, et automatiquement la désinfecter... de façon à la laisser saine et utilisable, comme piège, contre des virus non encore identifiés.
Attention ! Cette méthode de désinfection automatique de l'hôte attaquant n'est utilisable légalement que dans les limites du ou des réseaux gérés par l'administrateur du honeypot.
Le fait d'utiliser une faille de sécurité contre un hote ne vous appartenant pas, même pour le désinfecter, reste illégale.
C'est d'ailleurs précisé dans l'article...
Les pots de miel ne sont pas les seuls joujous capables de réagir à une intrusion, il sont complémentaires des systèmes de detection habituels (IDS).
# Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 1.
et pas d'info sur le site de securityfocus...
[^] # Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par arapaho . Évalué à -3.
Alors la je vais faire une manip qui demande un cerveau immense, qui fait également preuve d'une grande autonomie et je me rends sur la page d'accueil de SecurityFocus. Et la, wow, je vois l'article Slow Down Internet Worms With Tarpits. Ha ? Aurais-je fais preuve d'une immense imagination afin de trouver cet article. Je ne pense pas.
Par contre je me rend compte la critique des autres ne demande pas de grands efforts, c'est ce que je suis en train de faire .....
[^] # Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par LunaNova . Évalué à 7.
Dans le premier remplace .org en .com et tout rentre dans l'ordre :)
http://www.securityfocus.com/infocus/1740(...)
[^] # Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par Brunus . Évalué à 4.
Je suis pourtant certain d'avoir fais un copier/coller de l'url dans la case de saisie du lien...au moment ou j'ai posté la news, l'article sur les honeypots existait bien sur le .org
Ce qui est vachement étrange c'est que le .org semble être revenu à deux mois en arrière pendant le week-end...ou alors...je dois aller consulter d'urgence...
[^] # Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par saorge . Évalué à 5.
Mais bon, mis à part la forme, dans le fond, tu as raison ;-))
[^] # Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 2.
Apparement le .org et le .com ne sont pas synchronisés.
[^] # Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 5.
'Slow Down Internet Worms With Tarpits' ce ne veut pas dire la meme chose que 'Fighting Internet Worms With Honeypots'.
Qu'on me critique en disant qu'il y a deux sites securityfocus Ok je veut bien j'etait pas au courant, mais la ...
Apprend que lorsque l'on critique on essaye de faire un peut attention a ce que l'on dit, surtout quand on prend ton ton, pour eviter de se prendre un retour de flamme.
[^] # Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par arapaho . Évalué à 0.
Donc je récapitule, tu as le droits de faire une erreur et de critiquer, pas moi. Très bien j'ai compris. Merci du conseil au fait, j'en tiendrai compte et l'inclue dans ma faible experience de la vie.
[^] # Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par ToFe . Évalué à 0.
merci ! et oui je pourrai chercher tout seul ....
[^] # Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par Brunus . Évalué à 1.
# Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par Brunus . Évalué à -1.
J'espère que pour vous aussi, et que ce que je vois ne viens pas de mon cache.
http://www.securityfocus.com/infocus/1740(...)
[^] # Re: Le démon honeyd, utilisation des pot de miels contre les vers.
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 5.
Apparement le .org a eu un soucis recement parce que pour lui le dernier article est justement celui sur les TARPITS :).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.