Académique Documents
Professionnel Documents
Culture Documents
1.2.6.6 ManTrap
ManT rap [SD99, MH07] est un honeypot professionnel à haute interaction très
complet et très cher, proposé par la société Symantec. Il met en œuvre quatre sys-
tèmes d’exploitation logiquement séparés et qui sont installés sur la même machine
hôte. Chacun de ces systèmes supporte des applications réelles, et apparaît comme
sys-tème indépendant avec sa propre interface réseau. L’administration du système
hôte se fait par une interface utilisateur graphique Java. Mantrap peut être utilisé
comme honeypot de production, notamment pour la détection et la réaction, et il est
aussi rentable dans la recherche, mais avec un risque considérable.
– Avantages :
– Inconvénients :
Un système honeynet doit capturer toutes les informations qui se rapportent sur
l’attaquant et ses activités. Cette opération est effectuée sur trois niveaux : le f irewall,
les IDS et les systèmes honeypots eux même. Toutes les informations capturées dans
ces trois niveaux doivent être collectées et stockées dans un dispositif central loin de
tout risque éventuel pour éviter leur suppression par l’attaquant qui cherche toujours
à effacer ses traces d’une part, et pour faciliter la tâche d’analyse par la suite
d’autre part.
1.3.2.3 L’analyse des données
Cette opération est assurée par un ou plusieurs outils graphiques ou non graphiques
utilisés par le système honeynet pour visualiser et examiner toutes les informations col-
lectées d’une manière simplifiée et lisible, ce qui permet de faciliter la tâche d’extraction
des informations recherchées, telles que les outils, les méthodes et tactiques utilisées par
les pirates, ou bien celles qui révèlent les vulnérabilités existantes dans le système.
– Le routeur (la deuxième couche) qui limite toute connexion vers l’internet et
cache le firewall du réseau intérieur.
– Le IDS (la deuxième couche) qui garde aussi un log de toutes les activités
du réseau de honeynet. (Il est accessible depuis le réseau de production
mais non pas depuis le honeynet),
– Les honeypots (la troisième couche) qui exploitent les journaux du système
(systme logs).
– Gestion centralisée.
– Les logiciels qui peuvent être utilisés dans le honeynet sont limités par le
logiciel de virtualisation utilisé, VMWare par exemple ne supporte que les
Plates-formes x86, et UML supporte uniquement les systèmes linux.
– Configuration compliquée.
1.4 Conclusion
Comme nous avons montré dans ce chapitre, le honeypot n’est pas une alternative
des systèmes de détection d’intrusion (IDS) utilisés pour sécuriser un réseau
vulnérable. Mais il peut être considéré comme un supplément efficace pour la détection
des intru-sions dans le réseau. Comme nous avons vu, le terme honeypot est un terme
très vaste, comporte plusieurs formes différentes dépendantes des besoins et des
objectifs pour les-quels il a été conçu, mais le point commun entre toutes ces formes
c’est d’attraper les attaquants, et d’en collecter des informations précises. C’est cette
diversité des formes qui a permis aux honeypots d’être étendus d’une manière
prodigieuse ces dernières an-nées, car avec cette diversité chacun peut mettre en
place la forme du honeypot qui lui permet d’atteindre ses objectifs avec le moindre coût.