Projet de déploiement d'un honey pot

Table des matières

C’est quoi un honeypot ?

Le pot de miel se place dans une logique de défense active, il s’agit d’un composant dont l’unique but est d’être une cible potentielle pour des activités malicieuses.

Son comportement se rapproche de manière plus ou moins fidèle d’un élément du système d’information.

Dans un article sur la sécurisation d’un réseau domestique j’avais traité un équivalent passif.

Pourquoi ?

👉 Identifier les menaces du moment

👉 Découvrir et caractériser les techniques utilisées pour exploiter les vulnérabilités

👉 Aider à contextualiser les attaquants, collecter des informations sur leurs outils, provenance et mode opératoire

👉 Bonus : servir d’illustration concrète à de la sensibilisation cybersécurité

Comment ?

S’agissant d’exposer une machine partiellement vulnérable prenons quelques précautions …

👉 Un cloisonnement strict

Notre architecture est composée de 3 briques :

  1. l’appât

  2. le moteur de collecte et de traitement des données

  3. l’espace de consultation

alt

👉 Une matrice de flux très restrictive

L’échange d’informations entre les composants est rigoureusement limité selon la règle ce qui n’est pas explicitement autorisé est interdit.

(1) accepte uniquement des connexions provenant d’Internet à destination des services “appâts”.

(1) ne peut sortir que ses journaux à destination de l’espace de journalisation.

(3) peut uniquement consulter les événements stockés sur l’espace de journalisation

alt

👉 Un environnement virtualisé immuable

Dernière ce nom barbare, nous signifions que l’infrastructure est déployée par un robot suivant un script prédéfini (infra as code).

En clair l’infrastructure ne vivra que le temps de l’expérience pour être ensuite détruite.

alt

Que simule-t-on ?

👉 Un simple site web avec une page statique.

👉 Une mire d’authentification (protocole ssh & telnet) demandant un nom d’utilisateur et un mot de passe

👉 Après un nombre aléatoire de tentatives, l’attaquant pourra rentrer sur le système, les commandes passées seront enregistrées.

Que collecte-t-on ?

👉 Les requêtes Web

👉 Les couples utilisateur / mot de passe

👉 Les commandes passées sur le système

Comment traiter l’information ?

Un pot de miel génère beaucoup d’événements mais alors vraiment beaucoup beaucoup d’événements…

alt

On va oublier Excel !

La solution retenue est Splunk.

alt

Qu’apprend-t-on ?

Ce sera pour un prochain article

Related