Un honeypot ou pot de miel consiste à attirer le hacker sur un faux système volontairement vulnérable pour mieux comprendre l’attaque et de ce fait mieux s’en défendre, il est généralement utilisé par les chercheurs en cybersécurité. Le honeypot permet également d’attirer l’attention du hacker sur un système en particulier afin de laisser les autres tranquilles.
Les honeypots
Il existe plusieurs type de honey pots, dans tous les cas ils doivent être totalement isolé du réseau.
- honeypot à faible interaction : aucune interaction réelle avec le système d’exploitation ou le réseau, tout est simulé : systèmes, réseaux, serveurs.
- honeypots à forte interaction : serveur avec de véritables services vulnérables, il est ici possible de rentrer dans le vrai système, le but étant d’étudier une situation réaliste, l’attaquant peut rebondir sur d’autres machines du réseau si le honeypot n’est pas totalement isolé.
- honeypot “client” : simulation d’infection par un malware en envoyant différentes requêtes à partir du client vers le serveur hébergeant du contenu malicieux pour comprendre les interactions client/serveur.
Pour qu’un honeypot soit efficace, il faut qu’il soit isolé du reste du réseau et surtout qu’il enregistre toutes les activités et les interactions avec l’extérieur (collecte des logs, capture de toutes les trames réseaux entrantes et sortantes)
Quelques honeypots
DIANAEA : simule les protocoles courants comme SNB, HTTP, FTP, SIP ou MySQL.
Conpot : orientés réseaux industriels, simule des équipements industriels spécifiques.
Cowrie : cible les protocoles Telnet et SSH, traque les tentatives d’authentification.
HoneyDroid : simuler un téléphone mobile.
Docker : possibilité de lancer le honeypot en une seule ligne de commande.
MHN (Modern Honey Network) : pour gérer le déploiement, la gestion et la configuration de différents honeypots.
Utilisation
Les honeypots sont surtout utiles pour la recherche et pas vraiment pour de la défense active mais ils peuvent contribuer à noyer l’attaquant dans une architecture virtuelle tout en étant une mine d’or d’informations pour comprendre et se prémunir des attaques.
L’analyse des événements reste assez complexe et très coûteuses en temps. Les outils de monitoring comme les SIEM (Security Information Management System) sont maintenant utilisés pour l’analyse et la corrélation d’événements de sécurité.