Quest-ce quun pot de miel ?

Si vous connectez un ordinateur à Internet ouvert sans aucune sorte de filtre de trafic entrant, il commencera généralement à recevoir le trafic d'attaque en quelques minutes. Telle est l'ampleur des attaques automatisées et des analyses qui se produisent constamment sur Internet. La grande majorité de ce type de trafic est entièrement automatisée. Ce sont juste des robots qui scannent Internet et essaient peut-être des charges utiles aléatoires pour voir s'ils font quelque chose d'intéressant.

Bien sûr, si vous utilisez un serveur Web ou toute autre forme de serveur, votre serveur doit être connecté à Internet. Selon votre cas d'utilisation, vous pourrez peut-être utiliser quelque chose comme un VPN pour n'autoriser l'accès qu'aux utilisateurs autorisés. Cependant, si vous souhaitez que votre serveur soit accessible au public, vous devez être connecté à Internet. En tant que tel, votre serveur va faire face à des attaques.

Il peut sembler que vous devez simplement accepter cela comme normal pour le cours. Heureusement, il y a certaines choses que vous pouvez faire.

Mettre en place un pot de miel

Un pot de miel est un outil conçu pour attirer les attaquants. Il promet des informations juteuses ou des vulnérabilités qui pourraient conduire à des informations mais n'est qu'un piège. Un pot de miel est délibérément mis en place pour attirer un attaquant. Il existe différentes variétés selon ce que vous voulez faire.

Un pot de miel à haute interaction est avancé. Il est très complexe et offre beaucoup de choses pour occuper l'attaquant. Ceux-ci sont principalement utilisés pour la recherche sur la sécurité. Ils permettent au propriétaire de voir comment un attaquant agit en temps réel. Cela peut être utilisé pour informer les défenses actuelles ou même futures. Le but d'un pot de miel à haute interaction est de garder l'attaquant occupé le plus longtemps possible et de ne pas donner le jeu. Pour cela, ils sont complexes à mettre en place et à entretenir.

Un pot de miel à faible interaction est essentiellement un piège à placer et à oublier. Ils sont généralement simples et ne sont pas conçus pour être utilisés pour des recherches ou des analyses approfondies. Au lieu de cela, les pots de miel à faible interaction sont destinés à détecter que quelqu'un essaie de faire quelque chose qu'il ne devrait pas faire, puis à le bloquer complètement. Ce type de pot de miel est facile à configurer et à mettre en œuvre, mais peut être plus sujet aux faux positifs s'il n'est pas soigneusement planifié.

Un exemple de pot de miel à faible interaction

Si vous gérez un site Web, une fonctionnalité que vous connaissez peut-être est robots.txt. Robots.txt est un fichier texte que vous pouvez placer dans le répertoire racine d'un serveur Web. En règle générale, les bots, en particulier les crawlers des moteurs de recherche, savent vérifier ce fichier. Vous pouvez le configurer avec une liste de pages ou de répertoires que vous souhaitez ou non qu'un bot explore et indexe. Les robots légitimes, tels qu'un robot d'exploration de moteur de recherche, respecteront les instructions de ce fichier.

Le format est généralement du type « vous pouvez consulter ces pages, mais n'explorez rien d'autre ». Parfois cependant, les sites Web ont beaucoup de pages à autoriser et seulement quelques-unes qu'ils veulent empêcher l'exploration. Ainsi, ils prennent un raccourci et disent "ne regarde pas ça, mais tu peux ramper n'importe quoi d'autre". La plupart des pirates et des bots verront "ne regardez pas ici" et feront exactement le contraire. Ainsi, au lieu d'empêcher l'exploration de votre page de connexion d'administrateur par Google, vous avez dirigé les attaquants directement vers celle-ci.

Étant donné qu'il s'agit d'un comportement connu, il est assez facile à manipuler. Si vous configurez un pot de miel avec un nom d'apparence sensible, puis configurez votre fichier robots.txt pour dire "ne regardez pas ici", de nombreux bots et pirates feront exactement cela. Il est alors assez simple de consigner toutes les adresses IP qui interagissent avec le pot de miel de quelque manière que ce soit et de les bloquer toutes.

Éviter les faux positifs

Dans un bon nombre de cas, ce type de pot de miel caché peut automatiquement bloquer le trafic provenant d'adresses IP susceptibles de déclencher de nouvelles attaques. Cependant, il faut veiller à ce que les utilisateurs légitimes du site n'aillent jamais dans le pot de miel. Un système automatisé comme celui-ci ne peut pas faire la différence entre un attaquant et un utilisateur légitime. En tant que tel, vous devez vous assurer qu'aucune ressource légitime n'est liée au pot de miel.

Vous pouvez inclure un commentaire dans le fichier robots.txt indiquant que l'entrée du pot de miel est un pot de miel. Cela devrait dissuader les utilisateurs légitimes d'essayer d'assouvir leur curiosité. Cela dissuaderait également les pirates qui sondent manuellement votre site et pourraient les énerver. Certains robots peuvent également avoir des systèmes en place pour essayer de détecter ce genre de chose.

Une autre méthode pour réduire le nombre de faux positifs consisterait à exiger une interaction plus approfondie avec le pot de miel. Au lieu de bloquer toute personne qui charge même la page du pot de miel, vous pouvez bloquer toute personne qui interagit ensuite avec elle. Encore une fois, l'idée est de donner l'impression qu'elle est légitime, alors qu'elle ne mène nulle part. Faire en sorte que votre pot de miel soit un formulaire de connexion à / admin est une bonne idée, tant qu'il ne peut pas vous connecter à quoi que ce soit. Le faire ensuite se connecter à ce qui ressemble à un système légitime mais qui est en fait juste plus profondément dans le pot de miel serait plus un pot de miel à haute interaction.

Conclusion

Un pot de miel est un piège. Il est conçu pour donner l'impression qu'il pourrait être utile à un pirate informatique, alors qu'il est en fait inutile. Les systèmes de base bloquent simplement l'adresse IP de toute personne qui interagit avec le pot de miel. Des techniques plus avancées peuvent être utilisées pour diriger le pirate informatique, potentiellement pendant une longue période. Le premier est généralement utilisé comme outil de sécurité. Ce dernier est davantage un outil de recherche de sécurité car il peut donner un aperçu des techniques de l'attaquant. Des précautions doivent être prises pour empêcher les utilisateurs légitimes d'interagir avec le pot de miel. De telles actions entraîneraient soit le blocage de l'utilisateur légitime, soit la confusion dans la collecte de données. Ainsi, le pot de miel ne devrait pas être lié à la fonctionnalité réelle, mais devrait être localisable avec un effort de base.

Un pot de miel peut également être un appareil déployé sur un réseau. Dans ce scénario, il est séparé de toutes les fonctionnalités légitimes. Encore une fois, il serait conçu pour donner l'impression qu'il contient des données intéressantes ou sensibles pour quelqu'un qui analyse le réseau, mais aucun utilisateur légitime ne devrait jamais le rencontrer. Ainsi, toute personne qui interagit avec le pot de miel mérite d'être examinée.