Upload
imane-msadfa
View
69
Download
28
Tags:
Embed Size (px)
DESCRIPTION
dgg
Citation preview
Universit Hassan 1er
Rapport de projet
HONEYPOTs
3me anne cycle dingnieurs Gnie Rseaux et Tlcommunications
Ralis par : Encadr par :
BOUKHIRA Adil Pr Y.KHAMLICHI GHAMRANE Layla HADJI Abdelhakim LOUAH Majdouline
Anne universitaire 2013-2014
1
Services Daccs
Remerciement
Nous tenons prsenter nos vifs remerciements et notre profond
respect M.KHAMLICHI qui nous a prt main forte pour
lencadrement et la ralisation de ce travail.
Ainsi, nous adressons nos remerciements tous nos professeurs,
Monsieur le Directeur ainsi qu tout le personnel de lEcole Nationale
des Sciences Appliqus Khouribga. Nous tenons aussi remercier
tous ceux qui ont contribu de prs ou de loin au bon droulement de
notre projet.
2
Services Daccs
Table des matires I. Prsentation ......................................................................................................................... 4
1. Quest-ce quun honeypot ? ............................................................................................ 4
2. Quest-ce quun exploit ? ................................................................................................ 4
3. Un peu dhistoire ............................................................................................................. 4
4. Buts recherchs ............................................................................................................... 5
a. Production .................................................................................................................... 5
b. Recherche .................................................................................................................... 5
5. Avantages et inconvnients des honeypots ..................................................................... 5
a. Avantages .................................................................................................................... 5
b. Inconvnients ............................................................................................................... 5
II. tude thorique des honeypots ........................................................................................... 5
1. Web honeypots ................................................................................................................ 6
2. Honeypots faible interaction ......................................................................................... 6
3. Honeypot moyenne interaction ..................................................................................... 7
4. Honeypots forte interaction .......................................................................................... 8
III. Mise en place des honeypots .............................................................................................. 8
1. Honeypots faible interaction : AMUN ......................................................................... 8
a. Amun.conf : ................................................................................................................. 9
b. log-mail.conf ................................................................................................................ 9
c. Start Amun ................................................................................................................... 9
2. Honeypot faible attraction : Nepenthes ...................................................................... 10
3. Comparaison entre Nepenthes et Amun ........................................................................ 12
4. Honeypots faible interaction : Pentbox. ..................................................................... 12
5. Rseaux de machine faible interaction Honeyd ......................................................... 14
a. Configuration ............................................................................................................. 15
b. Tests. .......................................................................................................................... 16
c. Conclusion : ............................................................................................................... 18
3
Services Daccs
6. Honeypot moyen attraction : Kojoney ....................................................................... 18
a. Prparation : ............................................................................................................... 18
b. Tlcharger et installer Kojoney ................................................................................ 19
7. Honeypot haute attraction : Honeynet ........................................................................ 19
IV. Dtection des honeypots ................................................................................................... 20
V. Conclusion : ...................................................................................................................... 22
4
Services Daccs
I. Prsentation
Ces dernires annes avec le dveloppement dInternet, le nombre dattaques a considrablement augment. En effet, avec linformation disponible sur la toile, un nophyte peut facilement se procurer les outils spcialiss et lancer des attaques partir de chez lui. En dehors de ces petites
attaques "pour le fun", on retrouve galement les attaques de grandes envergures menes la
baguette par des professionnels du piratage et qui sont destines obtenir des donnes
confidentielles afin den faire du profit. Ceux sont ces attaques qui sont les plus redoutes par les entreprises. Ainsi pour tre efficace face ces attaques, le monde de la scurit a ragi
rapidement et a labor de nouvelles mthodes prventives, les honeypots sont la tte de celles-
ci.
1. Quest-ce quun honeypot ? Un honeypot est une ressource volontairement vulnrable destine attirer et piger les
pirates. En pratique cest gnralement une machine, virtuelle ou non, faisant tourner ou mulant un ou plusieurs services, qui nattendent que dtre compromis par un pirate.
2. Quest-ce quun exploit ? Plusieurs termes relatifs la scurit informatique sont employs tout au long de ce rapport.
Parmi ceux-ci, on retrouve le terme exploit qui dsigne un programme malveillant utilisant un
payload particulier pour exploiter une faille de scurit dans un systme dexploitation ou un logiciel. Une exploitation russie peut conduire une lvation de privilges en local ou un
accs distant sur la machine pirate. Les failles de scurit les plus exploits sont celles des
applications web et les dbordements de tampon dans les logiciels/noyaux. La faille de type
dbordement de tampon consiste envoyer dans un tampon plus de donnes quil ne peut en contenir, si le programme est mal dvelopp il va crire les donnes en trop en dehors de
lespace mmoire alloue pour le tampon et craser des donnes essentielles (variables, saved eip) au bon droulement du programme. Le pirate peut ainsi dtourner le flot dexcution dun programme pour le placer sur un Shellcode.
3. Un peu dhistoire Lide nest pas nouvelle et peut tre attribue Bill Cheswick, un programmeur systme
spcialis dans la scurit et travaillant chez AT&T Bell. Le 7 Janvier 1991, il a commenc
jouer avec un pirate en rpondant manuellement ces requtes qui tentaient dexploiter une faille dans le dmon sendmail. Bill a alors russi lui faire croire quil avait obtenu une copie du fichier passwd qui contenait en ralit que des comptes falsifis et contrls par le programmeur
de AT&T Bell. Il a alors laiss le pirate samuser sur la machine et a tudi son comportement pendant plusieurs mois. Il a ensuite publi un papier sur ses dcouvertes.
Ce nest seulement quen 2000 que le terme honeypot a vraiment t intgr dans le monde des entreprises. En effet, cest cette poque que lon a vu le dploiement des premiers honeynets.
5
Services Daccs
4. Buts recherchs Les pots de miel sont essentiellement utiliss dans des environnements de production ou de
recherche.
a. Production
Dans un environnement de production, un honeypot est utilis pour drouter les attaques vers
des machines leurres qui simulent un rseau de production. Ce type dhoneypot ne requiert pas beaucoup de vigilance de la part de ladministrateur. Il doit uniquement surveiller les intrusions sur les machines leurres afin de sassurer que les failles exploites ne sont pas prsentes sur les machines de production relles.
b. Recherche
Cest le domaine dapplication des honeypots le plus intressant et celui qui a t trait tout au long du projet. Le rle de lhoneypot dans un environnement de recherche est dobserver les mthodes de piratage et tudier le comportement des pirates. Ce type dhoneypot est plus difficile mettre en place et requiert un suivi constant si on ne veut pas avoir de mauvaises
surprises.
5. Avantages et inconvnients des honeypots
a. Avantages
Le but dun honeypot est de capturer un pirate et/ou de loccuper pendant un certain temps,
pendant lequel il ne sattaquera pas aux vrais systmes de production. Cest dans cette optique
quil est important de rappeler que les honeypots ne sont pas une solution que lon place pour
rsoudre un problme mais un outil exploiter. Ce sont des allis trs efficaces pour les IDS et
sont des solutions trs rapides mettre en place.
Enfin, utiliser un honeypot au sein dun rseau interne dune entreprise se rvle tre un outil
redoutable pour la dtection des actes de malveillance provenant de lintrieur.
b. Inconvnients
Puisque les honeypots doivent simuler des services et des systmes utiliss par les vrais
systmes de production, ils doivent tre attractifs afin de susciter lintrt sinon il sera ignor donc par consquent inutile.
II. tude thorique des honeypots
Selon les besoins, on distingue plusieurs types dhoneypots. Cette section dcrit les types
dhoneypots les plus rpandus.
6
Services Daccs
1. Web honeypots Des dizaines dapplications web naissent chaque jour. Gnralement crites en PHP, ces
applications contiennent des bugs qui conduisent pour la plupart du temps des vulnrabilits.
"XSS", "include", "path disclosure", "file disclosure" sont des termes qui nont plus aucun secret
pour les pirates et tous les jours, des milliers de sites sont compromis grce lexploitation dune
de ces failles. Cest ainsi que lon a vu grandir les web honeypots dans le but de
contrer/comprendre/analyser ce genre dattaque.
titre dexemple, on peut citer le Google Hack Honeypot, le premier web honeypot qui
mule des applications PHP connues telles que phpbb, joomla, les rfrences ensuite dans le
moteur de recherche le plus utilis du monde et attend des attaques pour rcuprer la requte
utilise pour atteindre la fausse application. Les informations glanes peuvent tre ensuite
analyses pour localiser de nouvelles failles non publies, prvoir larrive dun nouveau ver et
le contrer comme cela a t fait pour le ver Santy qui rcuperait des sites vulnrables en
envoyant des requtes spcifiques Google qui na mis que quelques jours pour les bloquer.
2. Honeypots faible interaction Un honeypot faible interaction mule des faux services vulnrables qui par dfaut ne
rpondent aucune requte. En contrepartie, tous les paquets arrivant destination des ports en
coute sont enregistrs. Le pirate ninteragit jamais avec le systme dexploitation en lui-mme
et la scurit est ainsi conserve, si les faux services ne contiennent bien videment pas de trou
de scurit.
Ce type de pot de miel est utile pour relever des statistiques sur les services les plus attaqus.
Si le payload de lexploit se trouve dans le premier paquet envoy par le pirate alors on peut
capturer des vers, dceler de nouvelles vulnrabilits. Ils sont simples mettre en oeuvre et
administrer mais sont grandement limits dans le sens o nous navons aucune information sur le
comportement des pirates puisquils noffrent aucune possibilit au pirate dinteragir avec le
service et mme la machine.
Parmi les honeypots faible interaction les plus populaires, on retrouve honeytrap qui
coute sur tous les ports TCP non utiliss par le systme et qui loge toutes les tentatives de
connexion ainsi que les payloads utiliss. De plus un systme danalyse de payload permet
dextraire, des shellcodes connus, les excutables qui taient censs sexcuter si la faille aurait
t prsente.
7
Services Daccs
Figure 1 : honeypot faible interaction
3. Honeypot moyenne interaction Les honeypots moyenne interaction sont quune simple volution des honeypots prsents
prcdemment dans le sens o ils rpondent au pirate avec des fausses rponses qui laissent
croire au pirate que la faille est bien prsente et quelle a t exploite avec succs. Ainsi on peut
imaginer un faux serveur, lorsquil reoit une requte lgitime, il rpond avec une rponse qui
colle au protocole demand tandis que lorsquil reoit une requte avec un argument de plus de
65535 octets, il rpond pas la requte, analyse le payload qui tente dexcuter des instructions
arbitraires et lance un programme externe qui simule lattitude de ce payload, le pirate ny voit
que du feu et envoie maintenant ses donnes, qui sont loges, loutil qui simule le payload.
Nepenthes est un de ces honeypot moyenne interaction qui permet dmuler des
vulnrabilits connues dans Microsoft Windows et qui possde un analyseur de payload qui
reconnat et peut muler plus de 90% des shellcodes afin de rcuprer des vers, des
virus .
Figure2 : honeypot a moyenne interaction
8
Services Daccs
4. Honeypots forte interaction Contrairement aux deux types prcdents, les honeypots forte interaction ne sont pas bass
sur lmulation de services ou de systmes dexploitation. Au contraire, ils reposent sur un vrai
systme dexploitation ou de vritables services, vulnrables ou non, tournent et sont accessibles
aux pirates. Ainsi, la mthode dapproche est compltement diffrente puisque lon offre au
pirate la possibilit de rentrer dans le systme et de faire ce quil lui plat une fois le systme
compromis.
Le but du jeu est donc de contrler les faits et gestes du pirate sans se faire dmasquer. Cest le
type dhoneypot le plus dploy pour faire de la recherche puisque ceux sont les seuls qui
permettent de rellement dtudier le comportement des pirates et ceux sont galement les plus
difficiles administrer. Diffrentes mthodes pour contrler et capturer les donnes ont t
labores par lorganisation "The Honeynet Project" que nous allons dcrire et mettre en place
dans la section suivante.
Figure 3 : honeypots forte interaction
III. Mise en place des honeypots
1. Honeypots faible interaction : AMUN La mise en place de honeytrap, honeypot faible interaction prsent dans la section 2, ncessite
l :
Installation des packages ncessaires :
$ sudo apt-get install python-psyco python-mysqldb python-psycopg2
9
Services Daccs
Installation dAmun :
a. Amun.conf :
Dans le fichier de configuration, nous avons configur toutes les adresses IP o existe linterface
quAmun peut prendre.
Figure 4 : fichier Amun.conf
b. log-mail.conf
Pour que nous puissions recevoir un email si un nouveau programme malveillant est dtect, il
faut configurer le fichier log-mail.conf :
Figure 5 : fichier de configuration log-mail.conf
c. Start Amun
On utilise la commande suivante pour mettre en marche Amun :
$ cd ~/src/
$ wget http://downloads.sourceforge.net/project/amunhoney/amun/amun-
v0.1.9/amun-v0.1.9.tar.gz
$ tar xzvf amun-v0.1.9.tar.gz
$ cd amun/
$ cd /opt/amun/
$ sudo ./amun_server.py
10
Services Daccs
Figure 6 : lancement dAmon
Une fois Amon a collect les malwares, ils ont apparu dans le rpertoire malware/md5sum/ :
2. Honeypot faible attraction : Nepenthes Pour installer Nepenthes, on excute la commande suivante:
Cette commande permet dinstaller le paquet Nepenthes et tous les autres paquets ncessaires
Figure 7 : installation de Nepenthes
$ ls -l /opt/amun/malware/md5sum/
# apt-get install nepenthes
11
Services Daccs
Parmi les avantages de Nepenthes, ils font la collection de malwares une fois ils ont install sur
le pc. En effet, il ne ncessite pas une configuration bien spcifique. Le fichier de configuration
par dfaut est suffisant.
Figure 8 : fichier de configuration de nepenthes
Aprs cette tape, on peut accder aux fichiers log o toutes les informations sont enregistres,
laide de la commande suivante :
Voici ci-dessous un exemple de fichier log :
Figure 9 : fichier log
# gedit /var/log/nepenthes.log
12
Services Daccs
3. Comparaison entre Nepenthes et Amun
Nepenthes Amun
Honeypot faible interaction. Honeypot faible interaction.
Collecte automatique de malwares tel que les
bots.
Collecte de malwares se propageant de faon
autonome sur le rseau.
Emulation des vulnrabilits connues. Emulation des vulnrabilits des services
rseaux connues.
Extraction dinformations partir du payload dexploit puis tlchargement des malwares essayant dexploiter les vulnrabilits du rseau.
Tlchargement de payload malicieux afin de
les analyser.
Implment en c++. Implment en python et bas sur XML donc
sa maintenance et son extension de modules
sont plus faciles.
Contient les modules suivants :
Modules de vulnrabilits qui mulent des services existants comportant des
vulnrabilits.
Modules danalyse du contenu envoy par les modules de vulnrabilits.
Modules de rcupration, qui utilisent les informations reues par les modules
danalyse afin de tlcharger le malware.
Modules de chargement qui soccupent de stocker le malware.
Modules de gnration de log qui enregistrent toutes les informations
concernant lmulation.
Contient les modules suivants :
Modules de vulnrabilits.
Modules danalyse du contenu des payload.
Modules de rcupration.
Modules de tlchargement des malwares.
Soumission, des malwares analyser, vers des sandbox.
Modules de gnration de fichiers log.
4. Honeypots faible interaction : Pentbox. PenTBox est une suite de scurit qui peut tre utilis dans des missions de tests de
pntration pour effectuer une varit d'activits. Plus prcisment ces activits comprennent de
hachage de craquage, numration DNS et les tests de rpertoire HTTP brute de stress force.In
cet article nous allons voir cet outil en action et ce genre de rsultats que nous pouvons avoir.
Ce qui nous intresse dans ce package cest la possibilit de crer un honeypot.
13
Services Daccs
Lapplication ne ncessite aucune installation :
Figure 10 : package de pentbox
On tape 2 Pour choisir les outils de rseau.
Aprs avoir appuy sur la touche ENTER options d'outils de rseau s'affiche, on doit
slectionner les options de Honeypot.
Tapez le numro 3 et appuyez sur la touche Entre.
Ensuite, Nous avons configur manuellement le port ouvrir, le message qui sera affich et le
fichier de sauvegarde.
Figure 11 : configuration de port et de message affich
14
Services Daccs
Figure 12 : configuration de fichier de sauvegarde
Depuis une autre machine Backtrack, nous allons essayer daccder lautre machine avec telnet
sur le port ouvert :
Figure 13 : connexion telnet
On vrifie le fichier log :
Figure 14 : fichier log
5. Rseaux de machine faible interaction Honeyd
Honeyd est un programme open source. Cre et dvelopp par Niels Provos, Honeyd est
un programme qui sert construire des systmes faible interaction du plus simple au plus
complexe. Son avantage principal rside dans la possibilit dmuler un rseau informatique
entier, compos de diffrents systmes dexploitation virtuels qui sont capables de fournir des
services fictifs.
Une utilisation correcte dun honeypot repose essentiellement sur la rsolution et la mise
en parallle de trois problmatiques :
15
Services Daccs
la surveillance ;
la collecte d'information ;
l'analyse d'information.
Le principe du programme Honeyd est simple : lorsquun intrus essaie de se connecter
sur ladresse IP du systme mul, Honeyd se fait passer pour ce systme et commence la
communication avec lordinateur de lintrus.
Figure 15 : application honeyd
a. Configuration
Sous BackTrack5, la configuration de lhoneyd commence par la cration dun fichier de
configuration.
Figure 16: cration de fichier de configuration de honeyd
16
Services Daccs
Aprs on dite le fichier comme ci-dessous puis on lenregistre.
Fichier 17: Edition de fichier honeyd
Explication du fichier de configuration :
Nous avons cr une machine Windows : Une adresse mac et une adresse ip statique
sont attribues. Plusieurs ports ont t ouverts. On peut de mme faon ajouter dautres
machines ayant dautres adresses IP, do la notion de rseaux.
Quand lHoneyd reoit un paquet dirig lune de ces adresses, il utilisera le profil associ et
rpondra conformment sa configuration.
b. Tests.
Pour tester la configuration, on entre la commande suivante sur le terminal.
Cette commande permet de dmarrer lhoneyd :
Figure 18 : test de la configuration
$ honyed d f honeyd.conf
-f: permet de prciser le fichier de configuration.
-d: lance en mode interactif.
17
Services Daccs
On utilise la commande ping pour vrifier si notre machine Honeyd (Windows) est bien
fonctionne.
Figure 19 : test de la connexion entre 2 machines
Nous constatons que la machine honeyd est en marche et elle rpond dune manire correcte
notre ping.
On peut vrifier le fonctionnement de la machine honeyd (si elle est vivante et si les ports sont
ouverts) laide de la commande suivante :
Figure 20: vrification de fonctionnement de la machine Honeyd
$nmap 192.168.1.22
18
Services Daccs
Remarque :
Nous avons utilis deux machines BackTrack 5, lune pour linstallation et la
configuration de lhoneyd et lautre pour les tests de ping et de vrification.
c. Conclusion :
Honeyd est un honeypot trs souple. Mais lHoneyd na pas t conu pour fonctionner dans
un systme de production mais plutt dans le domaine de la recherche pour pouvoir amliorer
lavenir la scurit dun rseau.
6. Honeypot moyen attraction : Kojoney Kojoney est un honeypot moyenne interaction dvelopp en python et bas sur les librairies
rseau Twisted. Il mule un serveur SSH tournant sur un systme o les utilisateurs ont des mots
de passe faibles.
Certains pirates ont recours des scanneurs qui se connectent sur des adresses IP prises au
hasard et qui tentent une attaque par brute force sur les mots de passe, ciblant principalement les
mots de passe par dfaut ou ceux dont lutilisateur na pas fait preuve dimagination. Combien
dadministrateur cre un compte test avec comme mot de passe test pour tester le systme et
oublie de lenlever une fois le systme mis en production ?
Le logiciel enregistre dans des fichiers de log toutes les tentatives qui ont t faites ainsi que
les commandes lances par le pirate ds que celui-ci a trouv un des comptes utiliss par
Kojoney.
Kojoney est cependant trs loin dtre parfait, un pirate ayant un niveau correct et quelques
connaissances des systmes UNIX sapercevra immdiatement du pige.
Techniquement le programme ne fait que boucler sur ce que tape lutilisateur et y rpondre
quand il en est capable. Par consquent on atteint trs facilement les limites de ce faux
environnement, par exemple il est impossible de se promener ailleurs que dans la racine (/) et le
pirate ne peut pas utiliser de programmes interactifs (emacs, vim, ftp...)....
Aucune configuration nest ncessaire, nous pouvons lancer directement kojoney. Il va se
mettre en coute sur le port 22 et va enregistrer toutes les tentatives dans le fichier
/var/log/honeypot.
a. Prparation :
Tout d'abord, puisque nous voulons toujours tre en mesure de se connecter notre propre
machine, nous devons changer le port SSH par dfaut 22 autre chose :
Vous devez dcommenter la ligne "# Port 22" et changer "22" ce que vous voulez (en prendre
note), par exemple 2222.
$ vi /etc/ssh/sshd_config
19
Services Daccs
On redmarre le serveur ssh pour que le changement prenne effet:
A ce stade, on peut dconnecter notre systme et se connecter l'aide dun nouveau port.
Kojoney ncessite les packages suivants qui peuvent tre installs par la commande suivante :
b. Tlcharger et installer Kojoney
Le fichier journal cre est situ "/ var / log / honeypot.log". Kojoney a dj une liste intgre
de nom d'utilisateur et mot de passe, stocke dans / etc / Kojoney / fake_users". Si quelqu'un
pntre dans un combo trouv dans ce dossier, il a accs. Enfin, le binaire est stock "/ usr /
bin / kojoneyd".
7. Honeypot haute attraction : Honeynet Honeynet est un exemple de high-interaction honeypot. Honeynet n'est une solution logicielle
que l'on installe sur un ordinateur. Au lieu de cela, honeynet est une architecture, une entit du rseau
des ordinateurs construits pour tre attaqu. L'ide est de proposer une architecture qui cre un rseau
contrl au niveau o tous les activits sont contrles et captures.
Dans le rseau on met des ordinateurs intentionnels, ce sont les ordinateurs rels qui lancent
des applications rels. L'attaquant trouve, attaque, et entre dans les systmes proposs. Quand ils
fonts cela, ils ne prennent pas de conscience d'tre dans Honeynet. Toutes ses activits sont captures
sans aucune connaissance. Cela est fait par linsrer des modules dans le noyau du systme victime
qui capture tous les actions des attaquants. En mme temps, l'honeynet contrle les activits des
attaquants. Il le fait en utilisant un Honeywall qui dtourne le trafic vers un systme victime, et
contrle le trafic sortie en utilisant la technologie de prdiction des instructions. Cela donnera aux
attaquants une flexibilit dans l'interaction avec le systme victime, mais interdire laccs ay non-
honeynet systme.
$ /etc/init.d/sshd restart
$ yum install gcc python python-devel
$ cd /tmp
$wget
http://dfn.dl.sourceforge.net/project/kojoney/kojon
ey-0.0.4.2.tar.gz
$ tar -xvf kojoney-0.0.4.2.tar.gz
$ cd /tmp/kojoney
$ sh INSTALL.sh
$ /etc/init.d/kojoney start
20
Services Daccs
L'exemple du dploiement de honeynet est dans la figure suivante:
Figure 21 : dploiement de honeynet
IV. Dtection des honeypots
Un honeypot est ractif et rpond aux requtes du pirate. De plus la ractivit, dans le cas
des honeypots forte interaction, est totale puisque le pirate la main mise sur un vritable
systme gr de faon, suppos, inaperue de lextrieur par un bonhomme qui fait de la
scurit. Malheureusement, comme tout systme informatique, il possde des faiblesses que cette
section va tenter dillustrer.
Pour quil soit le plus attractif possible, un honeypot doit tre indtectable par un pirate.
En effet, la mise en place de pots de miel sest rpandue dans les entreprises et les pirates ont mis
en place des techniques permettant de dtecter leur prsence. Cette sous-section dcrit plusieurs
mthodes qui auraient pu tre mise en place par un pirate pour sapercevoir quil est dans un
rseau leurr.
Commenons avec les pots de miel faible et moyenne interaction qui sont faciles dtecter
pour un humain, le camouflage ntant pas une priorit dans le sens o ces honeypots sont
destins piger les programmes automatiss tels que les vers ou les mass rooter plutt que les
pirates.
21
Services Daccs
Par exemple :
Nepenthes
La dtection de nepenthes peut se faire en essayant dexploiter deux failles touchant deux
versions de Windows diffrentes, si les deux russissent alors il est fort probable quun
nepenthes se cache derrire la machine.
Kojoney
La dtection de Kojoney peut se faire en jouant avec des caractres spciaux tels que le
C ou le D qui dans le read() de python nont pas la mme attitude que dans le read() du vrai
serveur ssh. En plus de ces diverses anomalies dans linterprteur, on peut galement visualiser
la clef publique envoye par le serveur ssh pour dtecter un kojoney sachant quil utilise toujours
la mme clef.
22
Services Daccs
V. Conclusion :
travers ce projet, tous les intrts que peuvent prsenter la mise en place de pots de
miel dans un rseau informatique ont t mis en avant. Les pots de miel sont les outils idaux
pour tudier le comportement, les tactiques et les motivations des pirates informatiques et ainsi
se prmunir efficacement des attaques de ces derniers.
Il faut cependant garder lesprit que les honeypots visent attirer les pirates sur son
rseau informatique et que la dcision de dployer ce genre de rseau leurr ne doit pas tre prise
la lgre. Les objectifs doivent tre clairement dfinis car ils reprsentent un outil trs efficace,
leurs configurations et leurs manipulations restent trs dlicates et une erreur peut se rpercuter
sur le rseau de production.
Mme si les pots de miel sont encore assez jeunes et rservs aux experts de la scurit,
ils reprsentent dores et dj une technologie trs prometteuse dans la lutte contre la
cybercriminalit.