Dans cette section, nous pr´esentons diff´erentes impl´ementations de pot de miel haute interaction. Chacune est d´epeinte en fonction des caract´eristiques pr´ec´edentes.
3.3.1 Un pot de miel avec VMware
Dans [Hon03], les auteurs proposent d’utiliser le logiciel VMware pour la mise en place d’un pot de miel virtuel. Ce document constitue un guide pour le d´eploiement d’une architecture de pot de miel avec VMware. Tout d’abord, le logiciel VMware est install´e et configur´e. Ensuite, une partie d´edi´ee au contrˆole des donn´ees est abord´ee.
Pour finir, les auteurs pr´esentent les m´ecanismes de capture des donn´ees. Le pot de miel est d´eploy´e sur une machine hˆote de type Gnu/Linux. Une machine invit´ee est install´ee sur cette machine hˆote, par le biais du logiciel VMware. Le contrˆole des donn´ees est assur´e par l’utilisation de la commande du pare-feu de Linux, iptables.
Plus pr´ecis´ement, c’est la fonctionnalit´e de limitation des ´echanges (en anglais, rate- limiting) qui est utilis´ee : le nombre de connexions sortantes (initi´ees depuis le pot de miel, `a destination de Internet) est limit´e. Quant `a la capture des donn´ees, elle est r´ealis´ee par l’outil snort[CBFF03], un renifleur de r´eseau, et la fonctionnalit´e de journalisation de iptables.
Cette architecture dispose d’un bon niveau de transparence : les syst`emes d’exploi- tation invit´es ne sont pas modifi´es. Les seules possibilit´es pour l’attaquant de deviner la pr´esence du pot de miel sont l’utilisation des m´ethodes statistiques pour d´ecouvrir la politique pratiqu´ee par le pare-feu et l’analyse de la pr´esence des empreintes laiss´ees par VMware sur les machines invit´ees[Kor].
L’observabilit´e, par contre, n’est pas tr`es ´elev´ee. Effectivement, les m´ethodes de col- lecte de donn´ees ne permettent pas de r´ecup´erer des informations dans les connexions chiffr´ees issues de l’acc`es au service ssh, par exemple. Par contre, ce pot de miel est tr`es flexible car il est possible d’utiliser toute sorte de machine invit´ee.
69
Dans [HM03], les auteurs pr´esentent une architecture de pot de miel haute interac- tion, de nature virtuelle, bas´ee surUml (User-Mode-Linux) et Prelude.Umlutilise la technique de paravirtualisation pour permettre d’ex´ecuter, sur un hˆoteGnu/Linux, des syst`emes d’exploitationGnu/Linux invit´es.Prelude est un syst`eme de d´etection d’intrusions hybride compos´e d’un manager et de plusieurs sondes :
– Manager : le manager est charg´e de centraliser les informations collect´ees par les diff´erentes sondes. Lors d’une alerte, le manager peut avertir un dispositif de contre mesure. Il peut aussi avertir un manager global, permettant ainsi de d´eployer une architecture hi´erarchique.
– Prelude-NIDS : cette sonde collecte des traces r´eseau issues d’activit´es mal- veillantes. Dans [HM03], il est indiqu´e d’ex´ecuter ce processus sur la machine hˆote.
– Prelude-LML : cette sonde scrute r´eguli`erement les fichiers de journalisation disponibles sur le syst`eme d’exploitation invit´e. Elle doit ˆetre ex´ecut´ee sur ce dernier, en tˆache de fond.
Afin de donner l’illusion `a l’attaquant que les machines invit´ees sont r´eguli`erement utilis´ees, des scripts sont r´eguli`erement ex´ecut´es pour volontairement provoquer de l’activit´e. Dans l’ensemble, cette architecture poss`ede une bonne observabilit´e et une bonne flexibilit´e, par l’emploi de Prelude. Toutefois, Prelude, bien qu’apportant beaucoup de flexibilit´e, n’a pas ´et´e d´evelopp´e dans l’optique d’ˆetre install´e sur un pot de miel. Aucun m´ecanisme de furtivit´e n’a ´et´e mis en place pour cacher la pr´esence du processus Prelude-LML. Ce dernier est facilement d´etectable par les attaquants.
La transparence s’en voit beaucoup affect´ee, ce qui constitue le principal inconv´enient de cette architecture. La figure 3.1 pr´esente cette architecture.
Fig. 3.1 – Architecture d’un pot de miel bas´e surPreludeet Uml
3.3.3 Sebek
Sebek[Pro03] est un pot de miel physique. Il est compos´e d’un serveur et d’autant de clients que de pots de miel. Le serveur contient une base de donn´ees qui accueille les donn´ees collect´ees sur les pots de miel. Sur chacun des clients – donc des pots de miel – est install´e dans le noyau un module qui permet d’intercepter les appels syst`eme.
CHAPITRE 3. D´EVELOPPEMENT D’UN POT DE MIEL HAUTE INTERACTION
Un appel syst`eme est une primitive du noyau permettant de rendre des services aux programmes ex´ecut´es au niveau de l’espace utilisateur. Le but est d’autoriser un pro- gramme ex´ecut´e en espace utilisateur de solliciter un service de l’espace noyau. Pour ce faire, le programme renseigne un registre du microprocesseur avec le num´ero du service et lance une interruption logicielle (int/sysenter). Cette interruption, trait´ee au niveau de l’espace noyau, va permettre l’ex´ecution d’un code du noyau. Ce code va chercher dans une table, la table des appels syst`eme, l’adresse de la routine corres- pondant au num´ero renseign´e dans le registre du microprocesseur, par le programme.
Le sch´ema 3.2 pr´esente le m´ecanisme d’interception d’un appel syst`eme.
Fig. 3.2 – M´ecanisme d’interception d’un appel syst`eme
Sebek intercepte de cette mani`ere plusieurs appels syst`eme (read, write, ...).
L’interception de ces appels syst`eme permet de r´ecup´erer des informations int´eres- santes sur l’activit´e du pot de miel. Par exemple, l’appel syst`eme read est utilis´e pour lire toute forme d’information, des octets circulant sur le r´eseau aux octets sto- ck´es dans des fichiers. En l’interceptant, il est alors possible de reconstituer ce que l’intrus voit sur son terminal et d’identifier les fichiers qui ont sollicit´e l’int´erˆet de l’intrus. Les informations collect´ees par ces interceptions sont envoy´ees depuis le pot de miel vers une base de donn´ees, `a travers le r´eseau. Les connexions permettant ce rapatriement sont cach´ees de l’intrus par une modification de la partie gestion du r´eseau du noyau. Ce pot de miel poss`ede l’avantage d’ˆetre facilement portable. Il peut ˆetre install´e aussi bien sur des syst`emes d’exploitationGnu/Linux que Windows. Son niveau d’observabilit´e est, quant `a lui, tr`es ´elev´e. Ceci est principalement dˆu aux in- terceptions des appels syst`eme. Concernant sa transparence, il utilise des techniques
´evolu´ees mais connues des attaquants. Aussi, les contre-mesures `a ces techniques sont elles aussi bien connues[Cor04, DHK04]. Sebek est donc facilement d´etectable.
3.3.4 Uberlogger
Uberlogger[AGJ05] est un pot de miel haute interaction de nature physique. Il 71
est charg´e en m´emoire pour intercepter des appels syst`eme. Les informations collect´ees par ces interceptions sont envoy´ees `a travers le r´eseau et `a destination d’une base de donn´ees. Dans cette impl´ementation, l’accent a ´et´e plac´e sur les m´ecanismes permet- tant un haut niveau de transparence. Deux de ces m´ecanismes les plus int´eressants sont (1) la modulation de la quantit´e des donn´ees envoy´ees sur le r´eseau en fonction de la charge du pot de miel, et (2) la gestion des capabilities, jeton utilis´e par un processus pour prouver qu’il est autoris´e `a ex´ecuter certaines tˆaches, permettant de restreindre les possibilit´es d’action de l’intrus. Cette approche rend plus difficile les attaques statistiques pour d´emasquer la pr´esence d’un outil d’observation.