Beruflich Dokumente
Kultur Dokumente
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
SECURINETS
Prsente
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
1. Prsentation :
Un honeypot (en franais pot de miel) est un ordinateur ou un programme volontairement vulnrable destin attirer et piger les pirates informatiques. Le but de cet atelier est dutiliser un honeypot afin de surveiller le rseau pour collecter des informations sur les diffrents bots qui circulent dans le rseau. Ensuite, analyser ces informations pour pouvoir dcouvrir les dfaillances du rseau protger et les motivations des pirates. On compte deux types de honeypots qui ont des buts et des fonctionnalits bien distinctes : Les honeypots faible interaction. Les honeypots forte interaction.
3. Outils utiliss :
2.1 Nepenthes Nepenthes est un honeypot faible interaction sexcutant ct serveur sous Linux et simulant des services (rseau) Windows vulnrables. Il collecte des malwares tant faits pour sexcuter dans un environnement Windows (car il simule des services Windows). Nepenthes est disponible dans ce lien : http://nepenthes.carnivore.it/
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
3.2 Amun Amun est aussi un honeypot faible interaction. Il est bas sur XML et Python, ce qui lui rend facile tendre. Amun est disponible dans ce lien : http://amunhoney.sourceforge.net/ 3.3 Surfnetids Cest un logiciel qui est compos par plusieurs parties nous allons dans notre atelier exploiter une partie de surfnetids qui est le logging server. L'exploitation du logging server est constitue de 2 parties, la base de donnes et une interface web. La base de donnes est utilise pour stocker les informations de l'analyse du pot de miel. Cette information est prsente aux utilisateurs dans une interface web qui assure le suivi de l'tat du capteur d'informations.
4.
Installation et configuration :
Cette commande va nous installer le paquet Nepenthes et tous les autres paquets ncessaires. On peut par la suite vrifier que Nepenthes est bien install comme suit :
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
collecte. En effet, il ne ncessite pas une configuration bien spcifique. Le fichier de configuration par dfaut est suffisant.
Aprs la collecte, les informations sont enregistres dans des fichiers log. Pour y accder on tape :
# gedit /var/log/nepenthes.log
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
4.2 Amun Afin dinstaller Amun, il suffit de tlcharger la dernire version du fichier tar partir du site dj spcifier en dessus (http://amunhoney.sourceforge.net/). Ensuite, il y a dautres paquets ncessaires quon peut tlcharger partir du gestionnaire de paquets synaptic. Les paquets sont les suivants : Python 2.4 ; Python Psyco (disponible dans http://psyco.sourceforge.net/);MySQLdb ; psycopg2 . Par la suite on doit modifier la configuration en ditant le fichier amun.conf . Dans ce fichier on peut modifier ladresse ip du serveur (Rq : mettre cette adresse 0.0.0.0 si on veut que Amun reste en coute sur toutes les interfaces),le nom dutilisateur, le groupe, le timeout et plusieurs autres informations.
Amun va donc rester en coute et collecter des informations sur les bots. Ces informations seront enregistres dans les fichiers log se trouvant dans le dossier logs .
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
4.3
Surfnetids :
Pour installer le logging server on doit utiliser ubuntu 6.06 (dapper) car les dpts php4 et postgresql8.1 sont toujours valable.Pour installer le serveur on tape dans la ligne de commande : 1.tape : apt-get install postgresql-8.1 libclass-dbi-pg-perl perl php4 libapache2-mod-php4 libfreetype6 libpq4 php4-common php4-gd php4-pgsql apache2 libphp-phplot libmime-liteperl libgnupg-perl libmail-pop3client-perl libio-socket-ssl-perl sudo libapache2-mod-authpgsql libmime-perl sendmail xalan 2.tape : svn checkout http://svn.ids.surfnet.nl/surfids/logserver/tags/stable-2.00.03/ /tmp/surfnetids/logserver/ cd /tmp/surfnetids/logserver/ 3.tape : ./install_log.pl Pour la configuration, Les fichiers sont localiss dans : /etc/surfnetids/surfnetidslog.conf. (Rq : on doit ajouter dans les fichiers de configuration le login et le mot de passe de la base de donnes quon a dj crer).
5.
Nepenthes
Honeypot faible interaction. Collecte automatique de malwares tel que les bots. Emulation des vulnrabilits connues. Extraction dinformations partir du payload dexploit puis tlchargement des malwares essayant dexploiter les vulnrabilits du rseau. Implment en c++.
Amun
Honeypot faible interaction. Collecte de malwares se propageant de faon autonome sur le rseau. Emulation des vulnrabilits des services rseaux connues. Tlchargement de payload malicieux afin de les analyser.
Implment en python et bas sur XML donc sa maintenance et son extension de modules
S C U R I N E T S Club de la scurit informatique I N S A T www.securinets.com Tel : 23 579 379
S E C U R I N E T S
C lu b d e la s c u r it in f o r m a t iq u e I N S A T
sont plus faciles. Contient les modules suivants : Modules de vulnrabilits qui mulent des services existants comportant des vulnrabilits. Modules danalyse du contenu envoy par les modules de vulnrabilits. Modules de rcupration, qui utilisent les informations reues par les modules danalyse afin de tlcharger le malware. Modules de chargement qui soccupent de stocker le malware. Modules de gnration de log qui enregistrent toutes les informations concernant lmulation. Contient les modules suivants : Modules de vulnrabilits. Modules danalyse du contenu des payload. Modules de rcupration. Modules de tlchargement des malwares. Soumission, des malwares analyser, vers des sandbox. Modules de gnration de fichiers log.
Conclusion
Le honeypot aussi rcent Amun, a suivi une approche similaire Nepenthes dans la mesure o il fait la collecte des malwares par mulation des services rseaux vulnrables puis le tlchargement des payload malicieux afin de les analyser.
La diffrence principale entre Nepenthes et Amun est que ce dernier est implment en python ce qui facilite son extension et sa maintenance.
Amun est apparu dbut 2008, par contre nepenthes existe depuis lanne 2005 et il a t test par pas mal de personne et a prouv son efficacit.