Un de nos amis qui suit activement les débuts d’OverSimple nous a fait remarquer qu’il manquait une définition du Honeypot.
Un honeypot peut aussi être défini comme un pot de miel. Les honeypots sont notamment connus dans le monde de la sécurité informatique. Ils ont pour but de faire croire à l’attaquant que l’ordinateur est vulnérable afin de le piéger et de l’attirer.
Cela permettra à l’administrateur :
- D’étudier les différentes attaques possibles contre son propre réseau
- De surveiller les attaques contre son Honeypot afin de s’en prémunir
- D’étudier de nouvelles attaques possibles qui ne sont pour l’instant pas reconnu
On peut déduire deux types d’honeypots :
- Le premier est basé sur les serveurs actuellement mis en production (notamment pour une entreprise)
- Le second est utilisé afin d’étudier de nouveaux types d’attaques.
De plus, il existe des honeypots à faible, moyenne et forte interaction.
Pour les honeypots à faible interaction, cela peut être représenté par la commande netcat. A part l’identification des machines sur le réseau, l’honeypot n’est pas capable d’interagir comme pour un vrai système.
Les honeypots à moyenne intéraction représente la limite entre deux types d’honeypots: les honeypots à faible intéractions qui permettent juste de simuler une machine et les honeypots à forte interaction où on peut interagir comme un vrai système.
Enfin, les honeypots à forte interaction permettent de simuler quasiment un vrai système.
Bien sûr, en terme de sécurité, ils sont tous différents. Plus il y a de possibilités pour un attaquant, plus la machine est non fiable.
Les honeypots peuvent intervenir sur plusieurs services notamment :
SSH, HTTP, SMB, SMTP, IMAP, FTP, HTTPS, KERBEROS, MS-SQL, DNS, WEBMIN …
Et plein d’autres honeypots présents sur différents protocoles !