HoneyPot PentBox

1. Définition
En sécurité informatique, un honeypot (en français, au sens propre « pot de miel », et au sens figuré
«leurre») est une méthode de défense active qui consiste à attirer, sur des ressources (serveur,
programme, service), des adversaires déclarés ou potentiels.
Le terme désigne à l'origine des dispositifs informatiques spécialement conçus pour susciter des
attaques informatiques. Son usage s'est étendu à des techniques relevant de l'ingénierie sociale et du
renseignement humain

2. Principes de fonctionnement
Le but de ce leurre est de faire croire à l'intrus qu'il peut prendre le contrôle d'une véritable machine de
production, ce qui va permettre à l'administrateur d'observer les moyens de compromission des
attaquants, de se prémunir contre de nouvelles attaques et de lui laisser ainsi plus de temps pour
réagir.
Une utilisation correcte d’un pot de miel repose essentiellement sur la résolution et la mise en
parallèle de trois problématiques:
• la surveillance;
• la collecte d'information;
• l'analyse d'information.

2.1. Surveillance
Il faut partir du principe que toute information circulant sur le réseau à destination ou non du pot de
miel est importante. De ce fait, la surveillance doit absolument être constante et doit porter aussi bien
au niveau local qu’au niveau distant. Cette surveillance de tous les instants repose sur:
• l'analyse du trafic réseau;
• l'analyse pré compromission;
• la journalisation des événements.
2.2. Collecte d'informations
La collecte d’informations est possible grâce à des outils appelés renifleurs qui étudient les paquets
présents sur le réseau et stockent les événements dans des bases de données. On peut également
collecter des informations brutes grâce à des analyseurs de trames.

2.3. Analyse d'informations

C'est grâce à l'analyse des informations recueillies que l'on étudier pour pouvoir découvrir les
défaillances du réseau à protéger et les motivations des attaquants.

3. Différents types de pot de miel

On compte deux types de pots de miel qui ont des buts et des fonctionnalités bien distincts :
• les pots de miel à faible interaction sont les plus simples de la famille des pots de miel. Leur
but est
• de recueillir un maximum d’informations
• tout en limitant les risques
• en offrant un minimum de privilèges aux attaquants.
• les pots de miel à forte interaction peut être considéré comme le côté extrême du sujet
puisqu’il repose sur le principe de l’accès à de véritables services sur une machine du réseau
plus ou moins sécurisée.
 PentBox
1-Telechargement de pentbox

:~# wget http://downloads.sourceforge.net/project/pentbox18realised/pentbox-1.8.tar.gz

2-Décompression de pentbox:

:~# tar -zxvf pentbox-1.8.tar.gz

3- Déplacement vers le repertoire de pentbox

:~# cd pentbox-1.8/
:~# e ls

4-Exécution de pentbox

:~# ./pentbox.rb

5-Configuration du honeypot

Utilisez l’option 2 (Network Tools) et puis l’option 3 (Honeypot).

6-Lancement d’un test rapide

Choisissez l’option 1 (Fast Auto Configuration) pour lancer le honeypot sur le port 80.

7- Test

Ouvrez le navigateur et entrer votre adresse ip dans la barre d’adresse et go

http://192.168.1.68

Observation
(where 192.168.150.128 is your IP Address. You should see an Access denied error. and in the terminal
you should see “HONEYPOT ACTIVATED ON PORT 80” followed by “INTRUSION ATTEMPT
DETECTED”. .

Autres tests

L’option 2 (Manual Configuration) permet de créer un peau de miel sur le service tournant sur un port
spécifique. Ainsi, en guise d’exemple nous pouvons créer un peau de miel sur le service tounant sur le
port 23 : Telnet
select port 23 this time.