En savoir plus
Vous désirez en apprendre davantage sur les concepts abordés sur notre site?
Classification des honeypots
Dans le jargon de la sécurité, un honeypot est une méthode de défense active qui consiste à attirer, sur des ressources (serveur, programme, service), des adversaires déclarés ou potentiels afin de les identifier et éventuellement de les neutraliser.
Quelques notions théoriques
Les honeypots peuvent être déployés à divers endroits sur le réseau.
Nous verrons plus loin les avantages et inconvénients de ces différents emplacements.
Mais avant, voyons ensemble quelques éléments présents sur notre schéma ci-dessous.
Si vous êtes déjà expérimentés dans l’informatique, vous pouvez vous rendre directement à la partie: "Où se situent les honeypots?".
Pour faire court, cette topologie repose sur un modèle appelé le « Modèle OSI » :
Celui-ci est un modèle en couches :
​
​
-
Couche 1 : Physique
-
Couche 2 : Liaison de données
-
Couche 3 : Réseau
-
Couche 4 : Transport
-
Couche 5 : Session
-
Couche 6 : Présentation
-
Couche 7 : Application
​
​
PS : si un jour quelqu’un vous dit qu’il a fait une erreur de couche 8, ceci est une blague d’informaticien, il concerne une erreur humaine. :’-)
Ici nous nous focaliserons sur les couches 3 et 2 pour les routeurs et les switchs.
​
Routeur : Switch :
(couche 3) (couche 2)
Où se situent les honeypots?
Notre schéma est garni de routeurs, de switchs et de serveurs. Voyons ensemble chacun d’entre eux de manière brève :
​
Le switch est un appareil de couche 2, celui-ci est rapide.
Son rôle est d’interconnecter les ordinateurs d’un réseau local.
​
Le routeur est un appareil de couche 3, celui-ci est plutôt lent.
Son rôle est d’interconnecter les réseaux.
Un serveur, quant à lui, peut jouer différents rôles. Il peut servir de stockage de données, mais également proposer de nombreux services. Tels que, par exemple, un serveur DHCP.
Un serveur DHCP propose des adresses IP aux ordinateurs connectés localement sur le réseau. Il existe également bien d’autres services. (Un serveur n’est rien d’autre qu’un gros ordinateur).
À propos de notre schéma ci-dessous : Les pots de miels de couleurs représentés disposent d’avantages et d’inconvénients en fonction de leurs emplacements.
​
Considérez ces pots de miels de manière indépendante selon leurs positions et descriptifs.
En dehors du pare-feu
Un honeypot en dehors du pare-feu est utile pour traquer les différentes tentatives de scans ou d’attaques du réseau interne.
Etant donné qu’il attire et piège les attaques sur le honeypot, il réduit le volume de trafic, en particulier le trafic d’attaques vers le pare-feu.
C’est pourquoi cela réduit la quantité d'alertes générées par le pare-feu externe.
Cependant, le honeypot placé à cet emplacement ne piège pas les attaquants internes au réseau. Exemple d’attaquants internes : un employé qui voudrait se venger.
​
​
Les principaux avantages de placer le honeypot à cet emplacement sont les suivants :
​
-
N’augmente pas le risque pour le réseau interne
-
Un honeypot externe réduit la charge de travail du pare-feu
​
​
Désavantage
-
Il ne peut pas piéger les attaquants internes
Dans une DMZ
Un honeypot peut également être placé dans une DMZ (zone démilitarisée) pour piéger les attaquants qui ciblent les fonctionnalités accessibles au public.
Cependant, un honeypot à cet emplacement peut ne pas avoir la possibilité de piéger des attaques intéressantes. En effet, il n’accède à aucune donnée personnelle.
Mis à part les services destinés au public (WEB, mail, …), aucun autre service n’est censé être disponible dans la DMZ.
Si un attaquant tente d'accéder au honeypot, le pare-feu va bloquer le trafic.
Vous pourriez donc vous dire : « laissons le pare-feu autoriser le trafic vers le honeypot » Cependant, cela signifierait que nous ouvrons le pare-feu, ce qui représente un risque de sécurité !
​
Avantages :
​
-
Piège les attaquants qui souhaitent s’attaquer au service destiné au public
-
Le pare-feu bloque le trafic malveillant
​​
​
Désavantage :
​
-
La DMZ n’est pas entièrement accessible, car le par-feu la bloque par mesure de sécurité
Dans le réseau interne
Vous pouvez également placer le honeypot dans le réseau interne au côté des serveurs et ordinateurs de travail.
L’avantage principal est qu’il peut intercepter les attaques internes.
Il a aussi l’avantage de détecter une mauvaise configuration du pare-feu qui transfère également le trafic non autorisé d’internet vers le réseau interne de l’entreprise.
D’autre part, à moins que nous puissions complètement piéger l’attaquant à l’intérieur de l'honeypot, l'attaque pourrait être en mesure d'atteindre d'autres systèmes internes à partir du honeypot, ce qui est bien entendu à éviter !
En plus de cela, pour continuer d’attirer et de piéger les attaquants dans le honeypot, nous devons autoriser son trafic malveillant depuis internet vers le honeypot.
Cela signifie que nous devons ouvrir le pare-feu pour autoriser le trafic d'attaque provenant d'Internet vers le réseau interne, ce qui engendre un énorme risque pour la sécurité.
​
​
​
Avantages :
​
-
Peut aussi détecter un pare-feu mal configuré
-
Intercepte les attaques internes
​​
​
Désavantages :
​
-
Un honeypot compromis peut attaquer d’autres systèmes internes.
-
Le pare-feu doit ajuster son filtrage pour autoriser le trafic vers l’honeypot
