J'ai récemment monté une machine destinée à me servir d'honeypot. En suivant cet article , j'ai opté pour le malware collector nepenthes.
L'idée principale d'un honeypot est d'attirer les attaques grâce à une machine vulnérable. Cela nous permet d'analyser les attaques courantes et les techniques employées. Une fois ces informations extraites, on les compare aux résultats d'analyse d'outils comme nessus (qui recense les failles connues sur une machine ou un lan donné) et l'on comble en priorité les failles communes.
Nepenthes écoute sur les ports les plus courants, émule les services qui y sont associés et capture les tentatives d'attaques. Ce sont des services de basse interaction puisqu'ils ne répondent pas totalement comme le ferait le véritable service (smtp, web ou windows), on ne peut donc capturer que les attaques automatiques (vers, troyens...) et certains rootkits, un véritable pirate ne laissant pas abusé par ce genre de choses ;) .
Toutefois en première approche cela devrait nous constituer une base solide pour nos futur projets.