Mise en place d'un pot de miel
J'ai un ordinateur de rechange qui traîne chez moi, alors j'ai décidé de le transformer en pot de miel. Jusqu'à présent, j'ai installé Windows XP (pas de service pack) dessus et j'ai mis en place des règles sur mon routeur pour transférer (certains) ports vers le pot de miel. Étant donné que mon routeur ne prend pas en charge DMZ , Je dois créer manuellement des règles. Actuellement, je transfère TCP ports 80, 100-140 et 1000-1500 (j'ai choisi ces valeurs de manière assez aléatoire). Sur le pot de miel, j'utilise Wireshark pour surveiller le trafic réseau.
Cependant, le pot de miel ne semble pas infecté. Je ne reçois que très peu de trafic de l'extérieur.
Qu'est-ce que je fais mal? Dois-je transférer d'autres ports? Dois-je en quelque sorte annoncer ma présence sur Internet?
Merci pour toute contribution!
P.S .: Je connais les dangers de faire fonctionner un pot de miel à l'intérieur d'un réseau domestique.
Si vous souhaitez simplement que votre machine à pot de miel soit compromise et fasse partie d'un botnet, vous devrez exécuter des services vulnérables sur la machine. Les services vulnérables que vous choisissez devront correspondre aux ports que vous avez transmis à la machine à pot de miel et devront également correspondre aux services que les vers essaient activement d'exploiter.
Pour une machine Windows XP, le transfert des ports 137, 138, 139 et 445 devrait vous procurer beaucoup de trafic d'attaque. Ces ports sont pour NetBIOS et Samba et ils reçoivent tous un flux constant de trafic du l'Internet.
Le port de transfert 80 ne sera utile que si vous exécutez un serveur Web sur la machine à pot de miel. Vous pouvez aller dans deux directions avec un serveur Web; soit exécuter une ancienne version du démon HTTP lui-même qui a des vulnérabilités connues, soit exécuter une version actuelle, puis exécuter une application Web vulnérable telle qu'une ancienne version de Wordpress ou phpMyAdmin dessus).
Vous pouvez simplement essayer d'exécuter des services en espérant qu'ils sont vulnérables et que les vers tentent de les exploiter, mais il pourrait être plus efficace de rechercher les services ciblés par certains vers et de les exécuter.
L'autre direction pour résoudre ce problème est d'activer la journalisation sur votre point d'entrée et de voir quel trafic vous frappe. Je soupçonne que vous verrez beaucoup de trafic sur les ports que j'ai mentionnés ci-dessus, mais vous verrez probablement aussi du trafic sur d'autres ports. Découvrez pourquoi les ports sont utilisés pour une exécution de ce service sur votre machine.
Il y a quelques choses que j'ajouterais à propos des pots de miel:
Le but d'un pot de miel est d'étudier ce que fait l'attaquant ou le ver une fois qu'il a compromis un hôte. Vous souhaiterez mettre en place une surveillance et une journalisation étendues sur la boîte elle-même afin que vous obteniez réellement des informations utiles sur l'exercice. Il est également important que vous sachiez quand vous avez été compromis. La plupart des pots de miel sont exécutés dans des machines virtuelles afin de vous permettre de comparer facilement l'état actuel de la machine à une bonne copie connue. Il ne suffit pas de le faire depuis le pot de miel car les rootkits peuvent modifier les outils que vous utilisez pour effectuer la comparaison.
Vous voudrez surveiller tout le trafic vers et depuis la machine à pot de miel. Par cela, je veux dire des captures de paquets complètes. La façon normale de le faire est d'utiliser un port couvrant sur votre commutateur, mais cela peut probablement être fait dans l'hyperviseur de VM si votre commutateur n'a pas cette capacité. Vous ne le feriez normalement pas dans le pot de miel.
Vous avez dit que vous êtes conscient des dangers de faire fonctionner votre pot de miel à l'intérieur de votre réseau domestique. Je suppose que cela signifie que vous êtes également conscient des précautions que vous devrez prendre avant de le mettre en ligne. Plus précisément, configurer votre réseau et votre pare-feu de sorte que la machine à pot de miel ne puisse contacter aucun des autres membres de votre réseau local. Il est également recommandé de faire attention aux connexions sortantes que vous lui permettez d'initier à Internet. La première chose qu'il essaiera souvent de faire est de télécharger un rootkit et les programmes de travail qui vous intéressent probablement, mais la prochaine chose est souvent de commencer à attaquer plus de cibles, et ce n'est normalement pas quelque chose que vous voudriez normalement autoriser.
Il existe également outils spécifiques pour créer des pots de miel . Ces outils incluent un hyperviseur complet et des piles VM qui permettent toutes les choses que j'ai mentionnées ci-dessus. Sur le même site, vous pouvez trouver outils de journalisation, de surveillance et d'analyse et aussi une charge de informations sur la façon d'exécuter un pot de miel et qui vous êtes susceptible de voir l'attaquer.
Ce que vous avez créé est un pot de miel à haute interaction, c'est-à-dire un système vivant en attente d'être compromis et analysé plus tard par un enquêteur en médecine légale (c'est-à-dire vous bien sûr). Je commencerais par un pot de miel basé sur Linux et à faible interaction. Il crée un système de fichiers virtuel et de faux services qui peuvent faire croire aux attaquants (ou à leur outil automatisé) qu'il s'agit d'un "vrai" système, tandis que vous exécuterez simplement un service de pot de miel. Un outil très simple pour configurer et attraper les sondes est Kippo , un pot de miel SSH. J'ai également développé un outil de visualisation qui pourrait vous intéresser (et bien sûr, vous obtiendrez une belle présentation de vos données). Un autre pot de miel à faible interaction bien connu est honeyd , mais il est un peu plus difficile à configurer, en fonction de ce que vous avez l'intention de faire bien sûr (honeyd peut simuler une architecture réseau entière avec des routeurs, des serveurs, postes de travail, etc.).
Bien que la plupart de ces réponses soient correctes, j'ai l'impression qu'il leur manque des informations.
Tout d'abord, je tiens à préciser que cela dépend du type de pot de miel que vous installez, puis il décide si vous souhaitez installer une surveillance étendue ou non comme avec le pot de miel à faible interaction, vous ne voulez pas faire de configuration étendue en général . mais si vous utilisez High-Interaction ou Physical Honeypot avec sa propre IP qui est principalement utilisée dans la catégorie Recherche.
Cela signifie que quoi que vous désigniez comme un pot de miel, votre attente et votre objectif soient que le système soit sondé, attaqué et potentiellement exploité, Honeybot fonctionne en ouvrant plus de 1000 UDP et TCP sockets d'écoute sur votre ordinateur et ces prises sont conçues pour imiter les services vulnérables. C'est aussi un outil de détection et de réponse, plutôt que de prévention dans lequel il a peu de valeur.
Selon le logiciel que vous utilisez, la plupart d'entre eux sont dotés d'alertes par e-mail et de notification. comme honyed, mantrap, honeynets . Ce qui est mieux déployé sur des pare-feu.
Une dernière chose à garder à l'esprit, les pots de miel ne valent rien s'ils ne sont pas attaqués, si vous êtes comme mentionné le voudra ou si vous voulez capturer Full paquets, cela signifie que vous donnez également la possibilité à un attaquant qualifié de détourner votre pot de miel. Et si un attaquant parvient à compromettre l'un de vos pots de miel, il pourrait tenter d'attaquer d'autres systèmes qui ne sont pas sous votre contrôle. Ces systèmes peuvent être situés n'importe où sur Internet et l'attaquant pourrait utiliser votre pot de miel comme tremplin pour attaquer des systèmes sensibles.