Surveillance (Honeypots)

Surveillance (Honeypots) - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 28-02-2012 à 13:56:23    

Bonjour,
 
Je souhaiterais dans mon entreprise détecter les abus d'éventuels usagers du SI en utilisant un Honeypot.
L'idée serait par exemple d'installer un faux serveur fichiers et de repérer toutes personnes qui accède à ce serveur, consulte / modifie / supprime / copie des fichiers de type confidentiel par exemple.
 
Déjà, pensez-vous que cela soit possible ?
Un IDS vas permettre de journaliser tout accès, mais pas de voir le type de données consulté par l'attaquant; auriez-vous une idée de comment faire ? (par le biais de script peut être ou autres)
 
Merci de vôtre aide  :jap:

Reply

Marsh Posté le 28-02-2012 à 13:56:23   

Reply

Marsh Posté le 01-03-2012 à 09:14:16    

Petit up, hésitez pas à poser des questions si c'est pas clair ;)

Reply

Marsh Posté le 01-03-2012 à 10:01:31    

c'est trop méchant pour les utilisateurs ! ou tu parles de personnes autres ?


Message édité par akizan le 01-03-2012 à 10:01:54
Reply

Marsh Posté le 01-03-2012 à 11:10:44    

Le but n'est pas de "fliquer" les utilisateurs mais de repérer un éventuel pirate au sein de l'entreprise.  
Sachant par exemple que rien que le fait d'accéder au honeypot est suspect en soi-même, j'aimerais savoir quel type de données pourrait l'intéresser pour préparer des contres-mesures :)

Message cité 1 fois
Message édité par xeonn le 01-03-2012 à 11:11:41
Reply

Marsh Posté le 01-03-2012 à 14:18:23    

xeonn a écrit :

Le but n'est pas de "fliquer" les utilisateurs mais de repérer un éventuel pirate au sein de l'entreprise.  
Sachant par exemple que rien que le fait d'accéder au honeypot est suspect en soi-même, j'aimerais savoir quel type de données pourrait l'intéresser pour préparer des contres-mesures :)


Les payes  ou tout ce qui touche au salaire ;)


Message édité par Profil supprimé le 01-03-2012 à 14:18:38
Reply

Marsh Posté le 01-03-2012 à 14:48:37    

Un honey pot ????    cela fait un bail que je n'ai pas vu cela dans un LAN.  :??:  Idem pour un IDS.....

 

tu peux déjà utiliser la sécurité de tes serveurs (là on parle de serveurs dans un LAN), la sécurité des droits de partage, et au pire tu peux passer par une "séparation forte" des services sensibles.

 

Ex: Le service DRH et ses données et les pc devant y accéder sont dans un VLan bien spécifique ainsi peu de ressources peuvent accéder aux informations. A cela tu peux augmenter le niveau de sécurité de tes postes de travail et des ressources en utilisant des lecteurs de badges (authentification forte + plages horaires + audit des accès).

 

Quant aux données sensibles pour une entreprise, on ne les trouvent pas toujours ou l'on pense, genre DRH et Paies c'est bidon comme données, mais plutot dans les bases de données avec les fichiers client / Tarifs. Dans les ERP avec les nomenclatures de production et les couts , dans les GED avec des plans/formules de fabrication.....

 

Bref si l'on regarde bien, un honey pot avec quelques malheureux fichiers doc, pdf, xls, cela va baiser le stagiaire de 16ans qui se prend pour un roxor en info parce qu'il assemble son pc mais c'est tout. donc intérêt de la chose 0 pour presque......


Message édité par vrobaina le 01-03-2012 à 14:50:04

---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 01-03-2012 à 15:03:29    

xeonn a écrit :

Bonjour,
 
Je souhaiterais dans mon entreprise détecter les abus d'éventuels usagers du SI en utilisant un Honeypot.
L'idée serait par exemple d'installer un faux serveur fichiers et de repérer toutes personnes qui accède à ce serveur, consulte / modifie / supprime / copie des fichiers de type confidentiel par exemple.
 
Déjà, pensez-vous que cela soit possible ?
Un IDS vas permettre de journaliser tout accès, mais pas de voir le type de données consulté par l'attaquant; auriez-vous une idée de comment faire ? (par le biais de script peut être ou autres)
 
Merci de vôtre aide  :jap:


 
 
Perso je laisserai traîner des biftons de 500€ dans le couloir, comme ça l'air de rien, et un coup de bâton au cul du premier qui se baisse pour les ramasser :o

Reply

Marsh Posté le 01-03-2012 à 16:20:23    

Le serveur de fichiers n'est qu'un éxemple parmi d'autres. Je pourrais tout aussi bien simuler une branche de production avec certaines failles de sécurité.
 
Le but de ce projet est surtout de me permettre de savoir si il y a un pirate dans l'entreprise, et si oui ce qu'il recherche.
 
Après je me demande si des outils de DLP peuvent peut être m'aider à détecter les informations qui seraient visées.

Reply

Marsh Posté le 01-03-2012 à 16:22:56    

ben c'est pas comme cela que tu le sauras......


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 01-03-2012 à 16:31:38    

ba les DLP me permettent d'avoir un suivi des données que je vais mettre dans le honeypots et donc de faire entre autre la différence entre une consultation / modification /copie / supression de ces données

Reply

Marsh Posté le 01-03-2012 à 16:31:38   

Reply

Marsh Posté le 01-03-2012 à 16:44:29    

Revenons aux bases:  le piratage d'informations stratégiques en entreprise c'est avant tout le fait de personnes dans l'entreprise ayant accès à des données sensibles. Et dans le détail c'est qui/quoi ?.

 

ce n'est pas la personne du service compta qui va pirater les nomenclatures de production (il n'y a pas accès de par son profil), ni le responsable logistique qui se connecte à la GED du service développement pour y prendre les plans (lui non plus n'y a accès).

 

mais c'est par exemple:

 

1) le commercial qui part en tournée avec son ordi portable et qui en profite pour faire une consultation/impression/copie des fiches de ses clients.
2) la laborantine qui tous les jours analyse et modifie des formules chimiques et qui un soir part avec une clé USB contenant ces données.
3) le responsable de production qui en se baladant près des chaines de fab prend des photos avec son téléphone.

 

Dans ces 3 cas, ton honey pot ne sert à rien car ces 3 profils (et je pourrais te citer d'autres cas....) ne piratent RIEN, ils accèdent à leurs données comme au quotidien. Ils ouvrent un fichier excel, et l'enregistrent sur une clé usb ou font une photo d'écran avec leur smartphone et voilà, le tour est joué !  les données sur le serveur auront été lues, comme tous les jours par les personnes habilités à les consulter. et ton audit de fichiers ne donnera absolument RIEN. car le lendemain ils continueront à acceder à ces données comme si de rien n'y etait. et toi tu ne pourras pas détecter la fuite.

  


Message édité par vrobaina le 01-03-2012 à 20:27:30

---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 01-03-2012 à 20:14:43    

C'est effectivement le recouvrement de la majeure partie du piratage, mais je suis d'accord que y a toujours une autre petite partie venant de l'extérieur (les concurrents par exemple, les roxor comme tu dis...)

Reply

Marsh Posté le 01-03-2012 à 20:26:01    


mais ils viennent de l'exterieur......  ;)  => a toi d'avoir une politique d'accès au net bien béton.  Voir meme dans certains cas, j'ai vu des "Lan dans le Lan" à savoir des réseaux complètement indépendants dans une societe avec aucun lien physique avec le reste du réseau de l'entreprise et sans aucune possibilité de dialoguer avec le reste de l'entreprise ou le reste du monde (meme pas de ports usb d'activés, de lecteur cd/dvd...etc....)


Message édité par vrobaina le 01-03-2012 à 20:26:19

---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 01-03-2012 à 20:33:54    

Déjà ça me paraît carrément illégal de faire ça en douce, et ça ne résoud pas le problème du tout.
 
Si tu veux sécuriser l'accès à tes documents il te faut un outil de type AD RMS.

Reply

Marsh Posté le 02-03-2012 à 11:58:00    

Ce projet n'a pas pour but de protéger mais de détecter ! Si tu ne fais que protéger sans détecter au préalable, comment pourrais tu savoir qu'il y a des personnes mal intentionnées dans ton entreprise, ou bien que tu a des machines compromises ?
 

Citation :

Dans ces 3 cas, ton honey pot ne sert à rien car ces 3 profils (et je pourrais te citer d'autres cas....) ne piratent RIEN, ils accèdent à leurs données comme au quotidien. Ils ouvrent un fichier excel, et l'enregistrent sur une clé usb ou font une photo d'écran avec leur smartphone et voilà, le tour est joué !  les données sur le serveur auront été lues, comme tous les jours par les personnes habilités à les consulter. et ton audit de fichiers ne donnera absolument RIEN. car le lendemain ils continueront à acceder à ces données comme si de rien n'y etait. et toi tu ne pourras pas détecter la fuite.


 
Je parle de données basées sur un honeypot, ce ne sont donc pas des données lut au quotidien puisque l'honeypot n'est pas censé éxister pour l'utilisateur.
 
Pour ce qui est du piratage, bien evidemment qu'il y en a une grande partie qui vient de l'extérieur, mais il n'est pas rare non plus d'être attaqué de l'intérieur !
 
Imaginons par éxemple une machine du LAN qui soit compromise avec un rootkit par exemple, le pirate vas pouvoir regarder autour de lui à quoi il a accès est chercher des choses intéressantes. Ou dans un cadre moin malveillant, un salarié qui fait de la simple découverte réseau, et regarde tout ce qui lui tombe sous la main par curiosité.
 

Citation :

Déjà ça me paraît carrément illégal de faire ça en douce, et ça ne résoud pas le problème du tout.


 
Au niveau légal, le souci est au niveau de la protection des données logs, et la licéité des moyens utilisés pour les collecter. Il y a certaines actions à suivre pour couvrir ces aspects.

Message cité 1 fois
Message édité par xeonn le 02-03-2012 à 12:02:02
Reply

Marsh Posté le 02-03-2012 à 12:07:26    

xeonn a écrit :

Bonjour,
Je souhaiterais dans mon entreprise détecter les abus d'éventuels usagers du SI en utilisant un Honeypot.
L'idée serait par exemple d'installer un faux serveur fichiers et de repérer toutes personnes qui accède à ce serveur, consulte / modifie / supprime / copie des fichiers de type confidentiel par exemple.
Déjà, pensez-vous que cela soit possible ?
Merci de vôtre aide  :jap:


Oui c'est possible avec ce genre de logiciel :
http://www.netwrix.com/file_server [...] eware.html
Tu pourras auditer les accès et les changements sur des dossiers partagés d'un serveur Windows.

Reply

Marsh Posté le 02-03-2012 à 12:47:25    

xeonn a écrit :

Ce projet n'a pas pour but de protéger mais de détecter ! Si tu ne fais que protéger sans détecter au préalable, comment pourrais tu savoir qu'il y a des personnes mal intentionnées dans ton entreprise, ou bien que tu a des machines compromises ?
 
Pour ce qui est du piratage, bien evidemment qu'il y en a une grande partie qui vient de l'extérieur, mais il n'est pas rare non plus d'être attaqué de l'intérieur !
 
Imaginons par éxemple une machine du LAN qui soit compromise avec un rootkit par exemple, le pirate vas pouvoir regarder autour de lui à quoi il a accès est chercher des choses intéressantes. Ou dans un cadre moin malveillant, un salarié qui fait de la simple découverte réseau, et regarde tout ce qui lui tombe sous la main par curiosité.
 


 
Non dans 80 à 85% des actes de piratage dans le secteur industriel "sensible", il y a une complicité en interne.  
 
Quant au cas de ton rootkit, et bien si normalement la sécurité de tes postes de travail est bien pensée, si les accès aux ressources réseau sont bien pensées en terme de sécurité, et si ton réseau est correctement segmenté, alors ton hacker qui arriverait quand meme à prendre la main sur une machine de ton lan, ne pourrait avoir accès qu'à des données locales (et donc nada, pour accéder à un ERP par exemple). Quant à ton salarié, la découverte réseau ne doit que lui permettre que de "découvrir" les partages qui lui sont autorisés.   ;)  
 
 


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 02-03-2012 à 12:48:03    

dsy a écrit :


Oui c'est possible avec ce genre de logiciel :
http://www.netwrix.com/file_server [...] eware.html
Tu pourras auditer les accès et les changements sur des dossiers partagés d'un serveur Windows.

 

dans son cas, cela ça ne suffit pas, puisqu'il parle maintenant de bases de données et pas que de fichiers uniquement.

Message cité 1 fois
Message édité par vrobaina le 02-03-2012 à 12:53:49

---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 02-03-2012 à 16:54:43    

vrobaina a écrit :


dans son cas, cela ça ne suffit pas, puisqu'il parle maintenant de bases de données et pas que de fichiers uniquement.


 
Netwrix propose aussi un logiciel d'audit de base de données (SQL Server) :
http://www.netwrix.com/sql_server_ [...] rting.html
 
"Track all changes to database (including tables, views, stored procedures, columns, indices, etc.)"
 
Non ce n'est pas ma boîte ;)

Reply

Marsh Posté le 05-03-2012 à 13:17:30    

Merci pour vos réponses.
 
J'ai regardé ta soluce dsy; elle est complète pour ce qui est de l'aspect contrôle des données, mais sa fais cher la licence pour un Honeypot.
Tu a déjà testé ce logiciel personnellement ?
 
Sinon j'avais pensé aussi à un HIDS du genre Tripwire ou Samhain pour l'intégrité des données et récupérer toutes les activités sur la machine.


Message édité par xeonn le 05-03-2012 à 15:15:16
Reply

Marsh Posté le 05-03-2012 à 18:22:34    

Je n'ai testé que le "file change" et dans sa version gratuite. Je suis d'accord qu'une licence ne vaut pas le coup pour juste un honeypot.
 
Je ne connais pas les autres logiciels cités.

Reply

Marsh Posté le 07-03-2012 à 18:10:48    

vrobaina a écrit :


 
Non dans 80 à 85% des actes de piratage dans le secteur industriel "sensible", il y a une complicité en interne.  
 
Quant au cas de ton rootkit, et bien si normalement la sécurité de tes postes de travail est bien pensée, si les accès aux ressources réseau sont bien pensées en terme de sécurité, et si ton réseau est correctement segmenté, alors ton hacker qui arriverait quand meme à prendre la main sur une machine de ton lan, ne pourrait avoir accès qu'à des données locales (et donc nada, pour accéder à un ERP par exemple). Quant à ton salarié, la découverte réseau ne doit que lui permettre que de "découvrir" les partages qui lui sont autorisés.   ;)  
 
 


 
+1


---------------
Roulez vite et facilement avec le vélo électrique http://www.produitsbiologique.fr/25-velos-electriques
Reply

Marsh Posté le 07-03-2012 à 18:32:49    

Rajouter un NDIS entre les utilisateurs et les serveurs et auditions des accès aux fichiers.  
Rajouter à cela des sondes sur les postes clients. Détecter les insertions de clés USB et les actes de copies sur celles-ci. (le mieux est de supprimer physiquement les port USB)
Et beaucoup d'autres choses encore...


---------------
Roulez vite et facilement avec le vélo électrique http://www.produitsbiologique.fr/25-velos-electriques
Reply

Marsh Posté le 12-03-2012 à 10:39:20    

Re bonjour,  
 
Je cherchais quelques outils d'audit (fichiers et autres) et je suis tombé sur pointdev, qui propose une série d'outils d'administration pour réseau windows (série IDEAL). Un de vous a déjà test leur solution : IDEAL Alerter ? http://www.pointdev.com/index-fr.php
 
PS : Ce n'est pas dans le cadre du honeypot que je pose la question ;)


Message édité par xeonn le 12-03-2012 à 10:39:44
Reply

Marsh Posté le 12-03-2012 à 21:57:50    

A peu près tout est géré en natif avec les derniers OS.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed