Prérequis
Système Linux (Ubuntu recommandé pour sa compatibilité avec les outils).
Accès root pour configurer le réseau et installer les services.
Pentbox pour un honeypot léger de type TCP.
Honeyd pour simuler un réseau de honeypots (Honeynet).
Wazuh (serveur et agent) pour centraliser les alertes et fournir une analyse en temps réel.
Objectifs du TP
Apprendre les concepts des honeypots et des honeynets.
Déployer et configurer des honeypots pour capturer des données sur les tentatives d’intrusion.
Intégrer Wazuh pour surveiller les activités et recevoir des alertes en temps réel.
Analyser les informations et extraire des conclusions sur le comportement des attaquants.
Étape 1 : Installation de Pentbox, Honeyd et Wazuh
Installation de Pentbox
Pentbox est un outil multi-fonctions qui inclut un honeypot TCP de base. Il est idéal pour observer les tentatives d’intrusion sur des ports spécifiques.
Téléchargement et lancement de Pentbox
Cloner le dépôt Git de Pentbox pour obtenir l’outil :
git clone https://github.com/technicaldada/pentbox.git
Accédez au dossier nouvellement créé :
cd pentbox/
Pentbox est un script Ruby. Lancez-le avec :
sudo ./pentbox.rb
Si Ruby n’est pas installé, installez-le avec :
sudo apt install ruby
Interface de Pentbox
Une fois Pentbox lancé, naviguez dans les options pour accéder à Network Tools > Honeypot.
Pentbox propose un honeypot de type TCP qui permet d’écouter les connexions sur un port spécifique.
Installation de Honeyd
Honeyd est un honeypot avancé permettant de simuler des machines complètes avec différents systèmes d’exploitation et services. Il est souvent utilisé pour créer une honeynet, soit un réseau de honeypots.
Installer Honeyd
Installez Honeyd et ses dépendances :
sudo apt update && sudo apt install honeyd
Configurer le fichier de configuration
honeyd.conf
Honeyd utilise un fichier de configuration où chaque profil simule un système spécifique. Par exemple :
# Créer un profil pour un serveur Windows 2000 create windows_server set windows_server personality "Microsoft Windows 2000 Server SP4" set windows_server default tcp action reset add windows_server tcp port 80 open
Ce fichier indique que le profil
windows_server
simule un serveur Windows 2000. Le port 80 (HTTP) est ouvert pour attirer les attaquants.
Associer une adresse IP fictive
Assignez une adresse IP pour chaque honeypot créé dans le fichier de configuration réseau de votre machine ou dans votre environnement de virtualisation.
Lancer Honeyd
Honeyd peut maintenant être lancé en mode débogage pour afficher les logs en direct :
sudo honeyd -d -f honeyd.conf
Installation de Wazuh
Wazuh est un système de détection d’intrusion (IDS) qui centralise les logs et analyse les événements de sécurité.
Installation de Wazuh
Suivez le guide officiel de Wazuh pour installer le serveur, l’interface et l’agent sur votre système ou dans un environnement Docker.
Configuration de Wazuh
Assurez-vous que l’agent Wazuh est installé sur la même machine que celle des honeypots ou qu’il peut y accéder via réseau pour lire les fichiers de logs.
Étape 2 : Configuration d’un Honeypot avec Pentbox
Lancer Pentbox en mode Honeypot TCP
Dans Pentbox, sélectionnez Network Tools puis Honeypot.
Choisissez TCP Port Honeypot, puis spécifiez un port (ex. : 80 ou 8080) pour capturer les connexions entrantes.
Configurez l’outil pour enregistrer toutes les connexions dans un fichier log en fournissant un chemin, par exemple :
/var/log/pentbox_tcp.log
.
Tester la réaction du honeypot
Depuis une autre machine ou un scanner de ports (comme Nmap), scannez l’adresse IP et le port du honeypot :
nmap -p <port> <IP_Honeypot>
Observez les informations de connexion dans le fichier log généré par Pentbox. Notez les adresses IP et l’heure des connexions. Ces informations peuvent aider à identifier des tentatives d’accès malveillantes.
Étape 3 : Configuration d’un Honeynet avec Honeyd
Un honeynet est un réseau de honeypots, chacun simulant un service ou un système différent pour attirer les attaquants.
Configurer Honeyd avec plusieurs profils
Dans
honeyd.conf
, ajoutez plusieurs profils pour simuler différents systèmes, par exemple :create linux_server set linux_server personality "Linux 2.4.x" set linux_server default tcp action reset add linux_server tcp port 22 open # Simule un serveur SSH create router set router personality "Cisco Router" set router default tcp action reset add router tcp port 23 open # Simule un serveur Telnet
Chaque profil correspond à un type de système (Linux, Windows, routeur Cisco) avec des ports spécifiques ouverts.
Lancer Honeyd en surveillant les logs
Lancez Honeyd avec votre fichier de configuration pour activer le honeynet :
sudo honeyd -d -f honeyd.conf
Les tentatives d’accès aux systèmes simulés seront enregistrées dans les logs (
/var/log/honeyd.log
).
Simuler des attaques et capturer les informations
Utilisez des outils d’attaque pour générer des tentatives d’accès et voir les réponses des différents honeypots dans le fichier de log.
Étape 4 : Analyse des Logs avec Wazuh
Configurer Wazuh pour surveiller les logs de Pentbox et Honeyd
Dans le fichier de configuration
/var/ossec/etc/ossec.conf
, ajoutez des entrées pour que Wazuh surveille les fichiers de logs de Pentbox et Honeyd :<localfile> <log_format>syslog</log_format> <location>/var/log/pentbox_tcp.log</location> </localfile> <localfile> <log_format>syslog</log_format> <location>/var/log/honeyd.log</location> </localfile>
Créer des règles de détection des attaques dans Wazuh
Dans
/var/ossec/rules/local_rules.xml
, ajoutez des règles personnalisées pour générer des alertes en fonction des événements observés dans les logs :<rule id="100001" level="7"> <decoded_as>syslog</decoded_as> <description>Échec de connexion sur le honeypot TCP</description> <group>honeypot, tcp</group> </rule> <rule id="100002" level="10"> <decoded_as>syslog</decoded_as> <description>Accès non autorisé détecté sur Honeyd</description> <group>honeypot, honeyd</group> </rule>
Configurer les notifications en temps réel pour Wazuh
Dans
ossec.conf
, activez les notifications en temps réel pour recevoir un email ou une notification Slack :<email_alerts> <email_to>your-email@example.com</email_to> <smtp_server>smtp.example.com</smtp_server> </email_alerts>
Utiliser l’interface de Wazuh pour l’analyse
Connectez-vous à l’interface Wazuh pour analyser les alertes générées, visualiser les IP suspectes et filtrer les événements pour observer les patterns de comportement.
Étape 5 : Rapport et Conclusion
Synthétiser les informations sur les attaques détectées
Compilez un rapport des attaques, en listant les types d’intrusion, les adresses IP suspectes, et les heures de connexion.
Présenter des recommandations pour la sécurité
Sur la base des données capturées, proposez des actions de sécurité : blocage des IPs, renforcement des accès, etc.
Conclusion générale
Résumez ce que vous avez appris sur la détection des intrusions et l’utilisation des honeypots, et la manière dont Wazuh centralise et simplifie la surveillance.
En suivant ce TP, vous obtenez une vue complète des techniques de déploiement et de surveillance des honeypots, avec une solution de détection et de réponse aux incidents automatisée grâce à Wazuh.