Construire un piège à  pirates Virtual PC

Le principal critère de choix du matériel pour un piège à pirates virtuel sera le nombre de sessions virtuelles simultanées envisagé. En principe, un piège à pirates autonome, qui se contente d’une session, suffit pour tester les défenses périphériques ou pour recueillir des informations précoces à propos d’attaques potentielles. Cependant, vos desseins seront parfois plus ambitieux, au point de, par exemple, tester la sécurité d’un réseau interne dans son intégralité. Dans ce cas, il vous faudra très probablement un honeynet avec de multiples sessions virtuelles simultanées. C’est ce que montre la figure 1.

 Le nombre de sessions virtuelles simultanées possibles sur un ordinateur est limité par les deux facteurs classiques : puissance de traitement du système et mémoire. Virtual PC tourne sur un système Windows XP Professional ou Windows 2000 Professional avec un processeur 1 GHz ou plus rapide et un lecteur de CDROM. En général, chaque session virtuelle accroît les exigences du système : de 32 Mo à 256 Mo de mémoire et de 50 Mo à 4 Go d’espace disque. Donc, il faut prévoir un processeur Pentium 4 (P4) à 3 GHz ou plus rapide avec 1 Go de mémoire et un disque dur de 40 Go, pour conduire quatre ou cinq sessions virtuelles simultanées.

Il vous faudra probablement deux cartes réseau. Comme les sessions virtuelles n’auront pas de cartes réseau physiques, elles devront partager la carte réseau physique primaire avec l’hôte. Pour épauler le partage, Virtual PC offre un driver de périphérique en guise d’adaptateur de réseau virtuel. Il faut aussi installer du logiciel supplémentaire sur l’hôte (par exemple, un pare-feu poste, un superviseur de réseau) chargé de mettre en oeuvre les drivers de périphériques au niveau réseau qui, comme le driver Virtual PC, peuvent refuser ou modifier les paquets entrants et sortants. De ce fait, pour obtenir une vraie trace des paquets du trafic entrant et sortant du piège à pirates, il vaut mieux capturer le trafic à l’aide d’une seconde carte réseau. On peut enficher les deux cartes réseau dans un hub, comme le montre la figure 2, et configurer l’interface primaire avec une adresse publique sur votre réseau DMZ (zone démilitarisée) et l’interface secondaire avec une adresse privée, absente du réseau DMZ (dans l’idéal, l’adresse ne devrait même pas être routable). Vous pouvez ensuite installer le second adaptateur de réseau en mode promiscuité pour être à l’écoute du trafic provenant du premier adaptateur.

Je recommande également un lecteur de DVD-RW pour archiver les données d’autopsie sur un média en lecture seule. Avant d’établir un piège à pirates, j’ai passé des heures à attendre des copies d’images du disque dur afin de conserver la preuve pour l’analyse d’autopsie ultérieure. Ces étapes sont simplifiées dans un monde virtuel parce que le disque dur et le contenu de la mémoire ne sont rien d’autre que des fichiers sur le lecteur physique de l’ordinateur hôte. Si vous choisissez de créer un disque virtuel dynamique, le fichier contenant le disque virtuel atteindra en moyenne de 3 Go à 4 Go pour la plupart des OS Windows. Par conséquent, si vous songez à archiver ces données sur un média en lecture seule, il faudra un lecteur de DVD-RW.

Enfin, il faut choisir un OS pour le système hôte. Virtual PC 2004 ne prend en charge que Windows XP Professional et Windows 2000, mais il tourne en réalité sur Windows Server 2003 (mais vous recevrez un avertissement à l’installation). Le choix d’un OS est principalement déterminé par votre capacité à le sécuriser. Comme l’hôte du piège à pirates sera connecté à un réseau public, il est indispensable de le renforcer comme un hôte bastion. Bien que les trois OS puissent être suffisamment endurcis, je recommanderais XP ou Windows 2003 de préférence à Win2K comme plate-forme hôte, en raison de leur sécurité plus affirmée.