Administrateur Réseau

Comment établir un pot de miel sur votre réseau

Comment établir un pot de miel sur votre réseau



Un Honeypot est une ressource du système d'information dont la valeur réside dans l'utilisation non autorisée ou illicite de cette ressource.. – Lance Spitzner

Comme vous l’avez peut-être deviné, le trafic attiré – puis détourné ou étudié de plus près, selon le but – est de type malveillant ; celui qui provient des pirates informatiques, des logiciels malveillants et des virus.



Pourquoi avez-vous besoin d’un pot de miel sur votre réseau ?

La principale raison pour laquelle vous avez besoin d’un pot de miel sur votre réseau est les informations qu’il fournit ; quelque chose qu’aucun système de détection ou de prévention des intrusions ne peut vous offrir. Armés des informations et des alertes qu'ils enregistrent, les administrateurs réseau prendront conscience du type d'attaques dont ils sont la cible et disposeront des connaissances nécessaires pour déterminer ce qu'ils doivent faire pour renforcer leurs défenses.

Ceci étant dit, il existe deux types de pots de miel :



  • Pot de miel d'entreprise Un pot de miel installé dans un environnement de production et servant d'outil pour étudier les attaques pour utiliser les connaissances acquises afin de renforcer davantage la sécurité du réseau interne .
  • Pot de miel de rechercheUn pot de miel utilisé par les chercheurs et dans l'espoir deétudier les méthodologies d'attaque et d'autres caractéristiques telles que les motifs des attaques. Ensuite, par exemple, utiliser les connaissances pour créer des solutions de défense(antivirus, anti-malware, etc.) qui peuvent empêcher des attaques similaires à l'avenir.

Les types de données que les pots de miel capturent auprès des (ou sur) les attaquants peuvent inclure, sans s'y limiter :

  • Lenoms d'utilisateur,les rôles, etprivilègesque les attaquants utilisent
  • LeAdresses IPdu réseau ou de l'hôte utilisé pour l'attaque
  • Quelles données sontaccédé,modifiéousupprimé
  • Lefrappes réellesles attaquants tapent, ce qui permet aux administrateurs de voir exactement ce qu'ils font

Les pots de miel aident égalementen gardant le l'attention des hackers détournée du réseau principal,éviter toute la force d'une attaque, jusqu'à ce que les administrateurs soient prêts à mettre en place les contre-actions appropriées.

Enfin, nous devons mentionner les avantages et les inconvénients de l’utilisation d’un honeypot sur votre réseau (en voici un pour chaque côté) :

Avantages de l'utilisation d'un réseau de pots de miel

  • Il s'agit d'une mesure de sécurité peu coûteuse qui pourrait fournir des informations de grande valeur sur vos attaquants.

Inconvénients de l'utilisation d'un réseau de pots de miel

  • Ce n'est pas facile à installer et à configurer et ce serait une pure folie d'essayer de le faire sans un expert à portée de main ; cela pourrait se retourner contre vous et exposer le réseau interne à des attaques plus graves.
  • Il va sans dire, cependant, que les pots de miel sont sans doutela meilleure façon d'attraper un pirate informatique ou une attaque au moment où ils se produisent.
  • Il permet aux administrateurs de suivre l'ensemble du processus étape par étape et de le suivre en temps réel.à chaque alerte.

Où trouver les instructions d'installation du pot de miel

Dans cet articlenous nous concentrerons sur la stratégie nécessaire pour réussir la mise en œuvre d'un honeypot sur votre réseauplutôt que l'installation étape par étape des solutions logicielles elles-mêmes. Mais, pour ceux quifairebesoin de voir les solutions honeypot en cours d'installation, il existe d'excellents sites et vidéos. Nos recommandations seraient :

  • les fenêtres– pour la plupart des pays du monde, il s’agit du système d’exploitation (OS) de choix. Et à Sécurité analytique , vous pouvez configurer un pot de miel pour ce système d'exploitation et intégrer le cloud (Amazon AWS) dans votre réseau.
  • Linux– si vous êtes du genre Linux et que vous aimez aller sous le toit et bricoler sous le capot, voici un bon site qui montre comment un pot de miel est installé dans cet environnement de système d'exploitation : Blogs de piratage .

Bien sûr, dans le monde d’aujourd’hui Youtube des didacticiels, des chaînes et des communautés numériques en ligne comme GitHub , ce n’est vraiment pas si difficile d’installer un pot de miel. C'est la stratégie et la gestion qui constituent véritablement la partie la plus difficile.

Quelles sont les meilleures solutions logicielles de pots de miel ?

Pour tous ceux qui effectuent des recherches, il existe une myriade de solutions logicielles parmi lesquelles choisir en matière de solutions de pots de miel. Ci-dessous, nous vous proposons trois des plus populaires :

KFSensor

Un pot de miel basé sur Windows qui commence à surveiller votre réseau dès sa configuration. Il s’agit d’une boîte à outils complète conçue pour imiter un pot de miel – parmi de nombreux autres outils utiles. caractéristiques . Mais le caractère attachant de ce système de détection d'intrusion basé sur l'hôte ( ID ) est qu'il est hautement configurable, ce qui permet aux administrateurs de défendre plus facilement leurs réseaux individuels.

Glastop

La meilleure chose à propos de ce pot de miel est qu'il s'agit d'un Open source solution logicielle, ce qui signifie que, comme toutes les solutions collaboratives, c'est le fruit du travail de nombreux experts qui continuera également à évoluer et à s'améliorer au fil du temps. Glastopf est un pot de miel virtuel d'application Web Python qui est un émulateur de réseau à faible interaction. Une caractéristique intéressante de cet outil est qu'il peut même émuler des applications vulnérables aux Attaques par injection SQL .

USB fantôme

Ce qui distingue ce pot de miel, c'est qu'il concentre spécifiquement son attention sur les logiciels malveillants qui se propagent via les périphériques de stockage USB. C'est un gros problème étant donné que les clés USB utilisées par les employés et les utilisateurs autorisés continuent de causer de sérieuses inquiétudes .

Une fois installé, Ghost USB émule un périphérique de stockage USB et se diffuse sur le réseau interne, dans le but de tromper tout logiciel malveillant – qui se propage à l'aide de périphériques similaires – pour qu'il l'infecte. Une fois détectés et observés secrètement, il devient facile pour les administrateurs de prendre les mesures et précautions nécessaires.

Bien que ces trois solutions honeypot couvrent la plupart des besoins en matière de sécurité réseau, vous pouvez trouver une liste plus exhaustive de solutions pour divers besoins en matière de réseau et de cybersécurité. ici .

Stratégies de pots de miel

Il existe deux types de stratégies de mise en œuvre de pots de miel que vous pouvez adopter :

Méthode à faible interaction

Dans cette méthode, vous utiliserez fausses données, dossiers et bases de données comme appâts dans le but de surveiller les attaques pour voir ce qui se passerait dans un scénario réel de violation de données . Bien entendu, ils auraient accès à d’autres ensembles d’informations périphériques comme les adresses IP, les noms d’utilisateur et les mots de passe – sur lesquels les administrateurs surveillent de près. C’est ce que vous souhaiteriez faire si vous souhaitiez tester certains aspects de la pénétrabilité périphérique de votre réseau interne et de la sécurité de vos processus d’autorisation, par exemple.

Méthode à haute interaction

Dans cette configuration, vouspermettre aux attaquants d'interagir avec des données, des logiciels (y compris le système d'exploitation), des services et du matériel qui semblent aussi réalistes que possible. L'intention ici est d'évaluer et de capturer les compétences des attaquants.. Cette configuration est principalement utilisée dans des scénarios de recherche où les résultats des études sont utilisés pour améliorer les capacités de défense des antivirus et des anti-malware.

Prends soin de toi!

Bon, examinons maintenant certains problèmes dont vous devrez être conscient et prudent avant de procéder à la mise en œuvre de votre pot de miel.

Probleme juridique

Que ce soit pour couvrir vos arrières au cas où vos clients vous poursuivraient en justice pour perte de leurs données ou pour vous assurer que les accusations que vous portez contre des intrus soient maintenues, vous devrez démêler vos fils juridiques. Bien que nous ne soyons pas une entité juridique, nous pouvons néanmoins vous dire que vous devrez être conscient et prudent de ces trois aspects juridiques :

  • Piégeage– les intrus peuvent prétendre qu’ils ne savaient pas qu’ils n’étaient pas censés accéder à votre réseau interne ou aux actifs et données qu’il contient. Ils pourraient rétorquer que vous ne l’avez pas étiqueté assez clairement et, en allant encore plus loin, utiliser le « piégeage ' la défense.
  • Confidentialitéla mise en œuvre d'un pot de miel doit être effectuée avec une extrême prudence;ce point ne peut pas être assez souligné. Un port laissé ouvert par erreur ou un compte administrateur compromis pourrait ouvrir la voie à des attaques sur votre réseau principal. Cela pourrait à son tour mettre en danger les données personnelles de n’importe lequel de vos clients. Si les attaquants parviennent à le partager avec le monde, vous pourriez vous retrouver la cible d'un procès pour abus de confiance parce que les clients disent qu’ils ne vous ont pas donné la permission de partager leurs données.
  • Responsabilité– Une autre façon de vous mettre (ou de mettre votre réseau) dans une situation délicate est si les intrus décident de vous retourner le crime en stockant du contenu malveillant sur vos serveurs compromis et, pire encore, en guidant le trafic légitime vers vos adresses IP. Le stockage et la distribution de contenus tels que la pédopornographie pourraient vous permettre de découvrir très rapidement l'intérieur d'une salle d'audience.

Un conseil: si vous trouvez un tel contenu incriminant sur vos serveurs ou accessible via votre réseau, la première chose à faire est de contacter les autorités.

Être découvert – par les intrus

Mise en place d'un environnement de pot de miel nécessite l'anonymat pour le réseau réel c'est derrière ça. Rien ne poserait plus de risques que si les intrus découvrent qu'il s'agit bien d'un pot de miel auquel ils ont affaire plutôt que d'une véritable affaire. Car, en prenant conscience de cette réalité, ils pourraient prendre comme un défi de continuer à trouver un moyen pour percer le réseau interne principal. Il devient donc crucial qu’aucun signe révélateur ne les avertisse du fait qu’ils sont surveillés sur un réseau de pots de miel. Les signes courants qui trahissent généralement le stratagème – et doivent donc être évités – sont :

  • Si le réseau est trop facile à attaquer ou à accéder à, cela les rendra méfiants ou leur fera penser que ce n’est pas suffisamment pertinent pour justifier leurs efforts.
  • S'il y a trop de services inutiles en cours d'exécution ou si un trop grand nombre de ports sont ouverts,cela serait contraire à la réalité où les appareils normaux connectés à Internet sont généralement dépourvus de services non pertinents et n'ont que les ports requis ouverts.
  • Si les configurations des solutions logicielles en cours d'exécution sont toujours dans leurs paramètres par défaut, ce qui ne se produit presque jamais dans un réseau actif.
  • S'il y a peu ou pas de trafic transitant par le réseauindiquant qu'il ne présente aucun intérêt et qu'il appartient pourtant à une grande marque.
  • Si trop d’efforts ont été déployés pour donner l’impression qu’ils sont entrés dans un magasin de bonbonsavec des dossiers nommés « Mots de passe », « Confidentiel » ou « Noms d'utilisateur ».
  • Si les serveurs connectés au réseau semblent vides ou s'il y a beaucoup d'espace disque libreespacecela montrerait qu’ils ne valent rien.

En bref, votre réseau de pots de miel et les appareils qui s'y trouvent devraient imiter une connexion réelle, mais avec de fausses données et du trafic. Mettez-vous à la place des attaquants et examinez votre réseau de leur point de vue.

Protégez-vous bien !

N’oubliez pas que vous entrez dans la fosse aux lions lorsque vous optez pour une configuration en pot de miel. Par conséquent, voici quelques points dont vous devez toujours vous assurer qu’ils sont couverts :

  • N'utilisez jamais de données réelles– peu importe de quel type il s’agit, créez des données inutiles quiregardsréel et utilisez-le comme appât.
  • Ne connectez jamais votre honeypot à votre réseau principal– il ne devrait y avoir aucun moyen pour les attaquants d'accéder à votre réseau via votre pot de miel ; assurez-vous qu’il est isolé et gardez-le ainsi.
  • Utiliser des machines virtuelles– le matériel le plus sûr que vous puissiez installer sur votre pot de miel est un matériel virtuel ; si vous êtes touché, tout ce que vous avez à faire est de redémarrer et de le recréer.
  • Les pare-feu et les routeurs devraient être le seul moyen d'accéder à votre pot de miel– tout le trafic entrant doit passer par eux avant d’arriver sur le faux réseau ; configurer TOUS les numéros de port sur eux pour pointer vers le pot de miel.
  • Les noms d'utilisateur et les rôles doivent être uniques au pot de miel– il serait insensé d’utiliser les mêmes qui ont accès à votre réseau principal ; créez de nouvelles informations d'identification et utilisez-les uniquement pour le pot de miel.
  • Toujours tester, tester et tester– ne laissez jamais un pot de miel démarrer sans y mettre tout ce que vous avez ; en fait, invitez des experts à tenter de le franchir et d’accéder à votre réseau principal avant de le laisser affronter Internet.

Une bonne stratégie à adopter ici est deassurez-vous que personne, à l'exception d'un administrateur, ne peut accéder au pot de miel et même dans ce cas, ils doivent utiliser un compte de connexion dédié qui n'a aucun privilège sur le réseau réel. Ou, mieux encore, celui qui n’existe pas du tout.

Placement du pot de miel

L’endroit idéal pour créer votre pot de miel est sans doute la zone démilitarisée ( DMZ ). Il s'agit de la zone située en dehors de votre réseau principal, mais toujours derrière un routeur faisant face à Internet.

Carte des relations intranet (LAN), DMZ et routeur (WAN)

Attribution de l'image : fr:User:Pbroks13 [Domaine public], via Wikimédia Commons

Là encore, sachez que toutes les attaques ne proviennent pas d’Internet. En fait, des études ont montré que les statistiques sur les « menaces internes » – celles qui proviennent de derrière vos pare-feu et par des personnes autorisées à utiliser votre réseau – sont assez effrayantes à plus d’un moment. 30 pour cent .Cela signifie qu’il est également logiqueinstaller un pot de miel interne. De cette façon, les administrateurs réseau auront un aperçu des tentatives malveillantes – ou des simples erreurs humaines qui les provoquent. La vidéo suivante aidera à expliquer les objectifs, les avantages et les inconvénients de placer un pot de miel à différents endroits d'un réseau :

Jetons de miel

Un bon moyen d’observer les tactiques d’un intrus est de placer un honeytoken sur un serveur de contrôle ou une base de données. Les jetons de miel sont des fichiers ou des ensembles de données qui semblent intéressants pour l'attaquant mais qui sont en réalité de fausses répliques de la réalité .

Le les honeytokens peuvent également être des fichiers ou des ensembles de données intégrés dans ce qui semblerait autrement être un serveur physique ou une base de données légitime. . Cela permet aux administrateurs de suivre facilement les données en cas de vol – comme par exemple à qui elles ont été volées et comment elles ont été volées – car un jeton de miel différent est placé à chaque emplacement.

Des exemples de ce type de jeton de miel incluent les adresses e-mail et les noms d'utilisateur ou identifiants de connexion.. Si un attaquant accède à ces informations, il serait facile de savoir quelle base de données il a violé, ce qui aiderait à comprendre comment il a réussi à y parvenir.

Lorsqu'ils sont utilisés correctement et configurés de diverses manières, les honeytokens et les honeynets ( deux pots de miel ou plus sur le même réseau) peut dresser un tableau assez clair pour les administrateurs.

Une fois les menaces survenues puis identifiées par le pot de miel, des alertes peuvent être configurées en réponse aux tentatives d'accès, de modification ou de suppression des données ou même lorsque des paquets et charges utiles malveillants ont été découverts sur le réseau.

Réflexions finales sur la création d'un pot de miel sur votre réseau

Comme nous l'avons vu, un simple pot de miel vous aidera à combattre les attaques en dressant une image plus claire de vos attaquants et des méthodes qu'ils pourraient utiliser pour tenter une brèche. Le placer dans la bonne position et bien le configurer contribuera à renforcer la sécurité de votre réseau, et toute erreur dans ce domaine pourrait entraîner la disparition de votre réseau principal.

Et ainsi,…

N'oubliez jamais qu'un pot de miel n'est PAS, en soi, une solution de sécurité réseau. Il s'agit en fait d'un outil qui sert de moyen pour parvenir à une solution réseau sécurisée. Apprenez-en et serrez les vis en utilisant d’autres solutions de surveillance et de protection du réseau tout en vous assurant que vous disposez d’autres solutions de sécurité réseau en direct comme sauvegardes.

Comment configurer un pot de miel FAQ s

Pourquoi les honeypots sont-ils déployés en dehors du pare-feu ?

Placer les pots de miel en dehors du pare-feu évite d'avoir à créer des règles de pare-feu qui dirigent le trafic vers eux. Le pare-feu assurera toujours une protection efficace du réseau au cas où un pirate informatique s'échapperait du pot de miel.

Un pot de miel est-il un IDS ?

Il existe plusieurs types de pots de miel. Celui situé au sein du réseau, aux côtés des serveurs de production, s'inscrit dans une stratégie IDS.

Honeypot est-il un logiciel ou un matériel ?

À proprement parler, un pot de miel est un appareil. Les solutions logicielles sont appelées pots de miel virtuels.

Notre méthodologie de sélection des outils de gestion des honeypots

Nous avons examiné le marché des logiciels de technologie de tromperie et analysé les options en fonction des critères suivants :

  • Un système qui combine une activité réseau anormale constante avec des stratégies de tromperie
  • Un émulateur d'application avec des paramètres qui imitent différents systèmes vulnérables
  • Couverture pour tous les appareils qui sont des cibles connues d'activités malveillantes
  • Un service qui guide le déploiement du pot de miel
  • Journalisation complète des activités pour la conformité aux normes de protection des données
  • Une période d'évaluation sans risque assurée par un essai gratuit ou une garantie de remboursement
  • Des outils efficaces qui valent la peine d'être payés et à un prix raisonnable
^