Prérequis

• Système Linux (Ubuntu recommandé pour sa compatibilité avec les outils).

• Accès root pour configurer le réseau et installer les services.

• Pentbox pour un honeypot léger de type TCP.

• Honeyd pour simuler un réseau de honeypots (Honeynet).

• Wazuh (serveur et agent) pour centraliser les alertes et fournir une analyse en temps réel.

Objectifs du TP

1. Apprendre les concepts des honeypots et des honeynets.

2. Déployer et configurer des honeypots pour capturer des données sur les tentatives d’intrusion.

3. Intégrer Wazuh pour surveiller les activités et recevoir des alertes en temps réel.

4. Analyser les informations et extraire des conclusions sur le comportement des attaquants.

Étape 1 : Installation de Pentbox, Honeyd et Wazuh

Installation de Pentbox

Pentbox est un outil multi-fonctions qui inclut un honeypot TCP de base. Il est idéal pour observer les tentatives d’intrusion sur des ports spécifiques.

1. Téléchargement et lancement de Pentbox

   • Cloner le dépôt Git de Pentbox pour obtenir l’outil :

     git clone https://github.com/technicaldada/pentbox.git

   • Accédez au dossier nouvellement créé :

     cd pentbox/

   • Pentbox est un script Ruby. Lancez-le avec :

     sudo ./pentbox.rb

   • Si Ruby n’est pas installé, installez-le avec :

     sudo apt install ruby

2. Interface de Pentbox

   • Une fois Pentbox lancé, naviguez dans les options pour accéder à Network Tools > Honeypot.

   • Pentbox propose un honeypot de type TCP qui permet d’écouter les connexions sur un port spécifique.

Installation de Honeyd

Honeyd est un honeypot avancé permettant de simuler des machines complètes avec différents systèmes d’exploitation et services. Il est souvent utilisé pour créer une honeynet, soit un réseau de honeypots.

1. Installer Honeyd

   • Installez Honeyd et ses dépendances :

     sudo apt update && sudo apt install honeyd

2. Configurer le fichier de configuration honeyd.conf

   • Honeyd utilise un fichier de configuration où chaque profil simule un système spécifique. Par exemple :

     # Créer un profil pour un serveur Windows 2000
     create windows_server
     set windows_server personality "Microsoft Windows 2000 Server SP4"
     set windows_server default tcp action reset
     add windows_server tcp port 80 open

   • Ce fichier indique que le profil windows_server simule un serveur Windows 2000. Le port 80 (HTTP) est ouvert pour attirer les attaquants.

3. Associer une adresse IP fictive

   • Assignez une adresse IP pour chaque honeypot créé dans le fichier de configuration réseau de votre machine ou dans votre environnement de virtualisation.

4. Lancer Honeyd

   • Honeyd peut maintenant être lancé en mode débogage pour afficher les logs en direct :

     sudo honeyd -d -f honeyd.conf

Installation de Wazuh

Wazuh est un système de détection d’intrusion (IDS) qui centralise les logs et analyse les événements de sécurité.

1. Installation de Wazuh

   • Suivez le guide officiel de Wazuh pour installer le serveur, l’interface et l’agent sur votre système ou dans un environnement Docker.

2. Configuration de Wazuh

   • Assurez-vous que l’agent Wazuh est installé sur la même machine que celle des honeypots ou qu’il peut y accéder via réseau pour lire les fichiers de logs.

Étape 2 : Configuration d’un Honeypot avec Pentbox

1. Lancer Pentbox en mode Honeypot TCP

   • Dans Pentbox, sélectionnez Network Tools puis Honeypot.

   • Choisissez TCP Port Honeypot, puis spécifiez un port (ex. : 80 ou 8080) pour capturer les connexions entrantes.

   • Configurez l’outil pour enregistrer toutes les connexions dans un fichier log en fournissant un chemin, par exemple : /var/log/pentbox_tcp.log.

2. Tester la réaction du honeypot

   • Depuis une autre machine ou un scanner de ports (comme Nmap), scannez l’adresse IP et le port du honeypot :

     nmap -p <port> <IP_Honeypot>

   • Observez les informations de connexion dans le fichier log généré par Pentbox. Notez les adresses IP et l’heure des connexions. Ces informations peuvent aider à identifier des tentatives d’accès malveillantes.

Étape 3 : Configuration d’un Honeynet avec Honeyd

Un honeynet est un réseau de honeypots, chacun simulant un service ou un système différent pour attirer les attaquants.

1. Configurer Honeyd avec plusieurs profils

   • Dans honeyd.conf, ajoutez plusieurs profils pour simuler différents systèmes, par exemple :

     create linux_server
     set linux_server personality "Linux 2.4.x"
     set linux_server default tcp action reset
     add linux_server tcp port 22 open # Simule un serveur SSH
     
     create router
     set router personality "Cisco Router"
     set router default tcp action reset
     add router tcp port 23 open # Simule un serveur Telnet

   • Chaque profil correspond à un type de système (Linux, Windows, routeur Cisco) avec des ports spécifiques ouverts.

2. Lancer Honeyd en surveillant les logs

   • Lancez Honeyd avec votre fichier de configuration pour activer le honeynet :

     sudo honeyd -d -f honeyd.conf

   • Les tentatives d’accès aux systèmes simulés seront enregistrées dans les logs (/var/log/honeyd.log).

3. Simuler des attaques et capturer les informations

   • Utilisez des outils d’attaque pour générer des tentatives d’accès et voir les réponses des différents honeypots dans le fichier de log.

Étape 4 : Analyse des Logs avec Wazuh

1. Configurer Wazuh pour surveiller les logs de Pentbox et Honeyd

   • Dans le fichier de configuration /var/ossec/etc/ossec.conf, ajoutez des entrées pour que Wazuh surveille les fichiers de logs de Pentbox et Honeyd :

     <localfile>
       <log_format>syslog</log_format>
       <location>/var/log/pentbox_tcp.log</location>
     </localfile>
     <localfile>
       <log_format>syslog</log_format>
       <location>/var/log/honeyd.log</location>
     </localfile>

2. Créer des règles de détection des attaques dans Wazuh

   • Dans /var/ossec/rules/local_rules.xml, ajoutez des règles personnalisées pour générer des alertes en fonction des événements observés dans les logs :

     <rule id="100001" level="7">
       <decoded_as>syslog</decoded_as>
       <description>Échec de connexion sur le honeypot TCP</description>
       <group>honeypot, tcp</group>
     </rule>
     <rule id="100002" level="10">
       <decoded_as>syslog</decoded_as>
       <description>Accès non autorisé détecté sur Honeyd</description>
       <group>honeypot, honeyd</group>
     </rule>

3. Configurer les notifications en temps réel pour Wazuh

   • Dans ossec.conf, activez les notifications en temps réel pour recevoir un email ou une notification Slack :

     <email_alerts>
       <email_to>your-email@example.com</email_to>
       <smtp_server>smtp.example.com</smtp_server>
     </email_alerts>

4. Utiliser l’interface de Wazuh pour l’analyse

   • Connectez-vous à l’interface Wazuh pour analyser les alertes générées, visualiser les IP suspectes et filtrer les événements pour observer les patterns de comportement.

Étape 5 : Rapport et Conclusion

1. Synthétiser les informations sur les attaques détectées

   • Compilez un rapport des attaques, en listant les types d’intrusion, les adresses IP suspectes, et les heures de connexion.

2. Présenter des recommandations pour la sécurité

   • Sur la base des données capturées, proposez des actions de sécurité : blocage des IPs, renforcement des accès, etc.

3. Conclusion générale

   • Résumez ce que vous avez appris sur la détection des intrusions et l’utilisation des honeypots, et la manière dont Wazuh centralise et simplifie la surveillance.

En suivant ce TP, vous obtenez une vue complète des techniques de déploiement et de surveillance des honeypots, avec une solution de détection et de réponse aux incidents automatisée grâce à Wazuh.