Année Universitaire  2009/2010
PlanIntroductionMotivation pour les honeypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : honeydConclusion
PlanIntroductionMotivation pour les honeypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : honeydConclusion
IntroductionMenaces et attaquesd’intrusions en croissancepermanenteUtilisation des scans pour créer un profil détaillé de la victime(adresse IP et Services actifs)Les méchants peuvent frapper où ils veulent, quand ils veulent. Des personnes font des attaques leurs métiers (BlackHat)1
PlanIntroductionMotivation pour les honeypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : honeydConclusion
Motivations pour les honeypots (1/2)Clé pour unedétectiond’intrusionefficaceEtreinformer  des intrusions Méthodespermettant de gérer la sécuritéScanner les packets  (détection basée sur les signatures spécifiques)Observer les déviationsdans le traffic du réseau  (détectionbaséesur les anomalies)2
Motivations pour les honeypots (2/2)Ces solutions sontexhaustivesRépercussionsBeaucoup de temps pour l’analyse
Difficultés à définir  qu’est ce qu’une activité suspicieuse
Donnéespertinentes pas enregistréesC’est là où les pots de miel interviennent…3
PlanIntroductionMotivation pour les honeypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : honeydConclusion
Qu’est ce qu’un Honeypot ? (1/2)“Un pot de miel est une ressource  du système  d’information dont la valeur réside dans l'utilisation non autorisée ou illicite de cette ressource.”                                                                   -- L.SpitzerUne ressource peut être : Fichier de mots de passe
 Fichier excel
 Entrée dans la base de données
Ordinateursur le réseauPrincipe de baseMettre en place un ordinateur inutilisé parmi les ordinateurs de votre réseau4
Qu’est ce qu’un Honeypot ?(2/2) ObjectifTromper les attaquantsRole du honeypotSurveiller (analyse trafic réseau, journalisation)Collecter les informationsAnalyser les informations 5
PlanIntroductionMotivation pour les honeypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : honeydConclusion
Classification des Honeypots (1/3)Deuxcritères de classification 6
Classification des Honeypots(2/3)Intervalle de possibilités d’attaques permises à un attaquantDéfinir les vulnérabilités qu’on permet  à l'attaquant d'exploiter7
Classification des Honeypots (3/3)Niveaud’interactionfaibleInteraction avec un ordinateurUne machine simule un réseau de honeypots virtuelsNiveaud’interaction fortDes vraies machines exécutant de vrais servicesOn assume que ces machines vont être compromises Toutes les interactions sont suivies et journalisées8
PlanIntroductionMotivation pour les honeypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : honeydConclusion
Utilise des ressources  minimalesAvantagesSimplicitéCapture de nouveaux types d'attaquesRecueille des informations détaillées sur les attaquesTravaille également dans les environnements IPv69
Vision LimitéeInconvénientsScanne et capture l’activitédestinée à intéragir avec eux
Ne capture pas les attaques destinées aux systèmesvoisinsRisquepotentielPiraté et controlé par l’attaquant
Utiliser pour lancer d’attaquesultérieuresDifficulté de configuration10
PlanIntroductionMotivation pour les honeypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : HoneydConclusion

Honeypot

  • 1.
  • 2.
    PlanIntroductionMotivation pour leshoneypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : honeydConclusion
  • 3.
    PlanIntroductionMotivation pour leshoneypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : honeydConclusion
  • 4.
    IntroductionMenaces et attaquesd’intrusionsen croissancepermanenteUtilisation des scans pour créer un profil détaillé de la victime(adresse IP et Services actifs)Les méchants peuvent frapper où ils veulent, quand ils veulent. Des personnes font des attaques leurs métiers (BlackHat)1
  • 5.
    PlanIntroductionMotivation pour leshoneypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : honeydConclusion
  • 6.
    Motivations pour leshoneypots (1/2)Clé pour unedétectiond’intrusionefficaceEtreinformer des intrusions Méthodespermettant de gérer la sécuritéScanner les packets (détection basée sur les signatures spécifiques)Observer les déviationsdans le traffic du réseau (détectionbaséesur les anomalies)2
  • 7.
    Motivations pour leshoneypots (2/2)Ces solutions sontexhaustivesRépercussionsBeaucoup de temps pour l’analyse
  • 8.
    Difficultés à définir qu’est ce qu’une activité suspicieuse
  • 9.
    Donnéespertinentes pas enregistréesC’estlà où les pots de miel interviennent…3
  • 10.
    PlanIntroductionMotivation pour leshoneypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : honeydConclusion
  • 11.
    Qu’est ce qu’unHoneypot ? (1/2)“Un pot de miel est une ressource du système d’information dont la valeur réside dans l'utilisation non autorisée ou illicite de cette ressource.” -- L.SpitzerUne ressource peut être : Fichier de mots de passe
  • 12.
  • 13.
    Entrée dansla base de données
  • 14.
    Ordinateursur le réseauPrincipede baseMettre en place un ordinateur inutilisé parmi les ordinateurs de votre réseau4
  • 15.
    Qu’est ce qu’unHoneypot ?(2/2) ObjectifTromper les attaquantsRole du honeypotSurveiller (analyse trafic réseau, journalisation)Collecter les informationsAnalyser les informations 5
  • 16.
    PlanIntroductionMotivation pour leshoneypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : honeydConclusion
  • 17.
    Classification des Honeypots(1/3)Deuxcritères de classification 6
  • 18.
    Classification des Honeypots(2/3)Intervallede possibilités d’attaques permises à un attaquantDéfinir les vulnérabilités qu’on permet à l'attaquant d'exploiter7
  • 19.
    Classification des Honeypots(3/3)Niveaud’interactionfaibleInteraction avec un ordinateurUne machine simule un réseau de honeypots virtuelsNiveaud’interaction fortDes vraies machines exécutant de vrais servicesOn assume que ces machines vont être compromises Toutes les interactions sont suivies et journalisées8
  • 20.
    PlanIntroductionMotivation pour leshoneypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : honeydConclusion
  • 21.
    Utilise des ressources minimalesAvantagesSimplicitéCapture de nouveaux types d'attaquesRecueille des informations détaillées sur les attaquesTravaille également dans les environnements IPv69
  • 22.
    Vision LimitéeInconvénientsScanne etcapture l’activitédestinée à intéragir avec eux
  • 23.
    Ne capture pasles attaques destinées aux systèmesvoisinsRisquepotentielPiraté et controlé par l’attaquant
  • 24.
    Utiliser pour lancerd’attaquesultérieuresDifficulté de configuration10
  • 25.
    PlanIntroductionMotivation pour leshoneypotsQu’est ce qu’un honeypot?Classification des honeypotsAvantages et désavantagesEtude de cas : HoneydConclusion