Honeyd

Présentation Honeyd est un projet ''Pot de miel'' OpenSource développé par Niels Provos. Il permet de déployer des machines virtuelles sur un réseau (en utilisant les adresses IP laissées libres) et ainsi permet de détecter toute activité frauduleuse sur le réseau. En effet, toute tentative de connexion sur une adresse IP non attribuée peut être considérée comme non autorisée et suspecte puisque n'ayant pas lieu d'être. Le but est aussi bien de détecter des attaques connues que de découvrir de nouvelles attaques, en observant le comportement des attaquants, qui ne sont pas encore recensées. Ainsi, on souhaite accroître la sécurité du réseau.

Fonctionnement Honeyd fonctionne sous environnement Unix, Solaris, *BSD, et sera porté dans l'avenir sous Windows. C'est un daemon qui crée des hosts virtuels sur le réseau utilisant les adresses IP non attribuées sur le réseau. Ces hosts peuvent être configurés pour qu'ils paraissent fonctionner sous certains systèmes d'exploitations (grâce à des templates) ou pour faire tourner certains services (en fait ce sont des scripts qui simulent le fonctionnement de ces services). C'est un pot de miel basse interaction : simule des services TCP/IP, peut avoir plusieurs adresses IP (jusqu'à 65536 testées) et supporte ICMP (les machines virtuelles répondent aux ping et aux traceroute). Toutes les données entrantes et sortantes (chaque paquet passe dans un "moteur personnalisé" qui permet de compléter les paquets avec les informations relatives au système d'exploitation simulé) du pot de miel sont analysées.

Plus précisement, Honeyd doit être utilisé en collaboration avec l'outil Arpd. Arpd permet de gérer les adresses IP non attribuées et il redirige les attaques vers Honeyd. Quand à lui, Honeyd gère les échanges de données avec les attaquants pour simuler les services, requêtes ICMP... Sans Arpd, Honeyd ne peut pas travailler.

Il existe tout de même des limitations à l'utilisation de Honeyd puisque peu de services simulés sont disponibles et qu'il ne simule pas tous les systèmes d'exploitation.

Comparaison entre Honeyd et Prélude Prelude remonte des alertes en fonction des signatures d'attaques que nous lui fournissons alors que Honeyd remonte toutes les données qui lui sont envoyées (puisque celles-ci sont considérées comme toutes suspectes).

Intégration de Honeyd dans Prélude Honeyd peut être intégré dans l'architecture Prelude-IDS en tant que sonde réseau et ainsi on peut disposer d'un ''Pot de miel'' afin d'obtenir de nouvelles informations sur ceux qui attaquent le réseau. Les alertes sont visibles à partir du frontend de Prelude-IDS. Pour cela, il suffit d'appliquer un patch à la libprelude et la sonde Honeyd pourra être manipulée comme n'importe quelle autre sonde Prelude-IDS. Tout cela est expliqué en détail en annexe.