> Tech > Construire un piège à  pirates Virtual PC

Construire un piège à  pirates Virtual PC

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Joe Kinsella. Mise en ligne :  22 novembre 2006, Parution Windows ITPro : mars 2005

Les pièges à pirates, sont de plus en plus utilisés pour détecter très tôt les intrus potentiels, identifier les failles des stratégies de sécurité, et améliorer la prise de conscience globale d’une entreprise en matière de sécurité. Les pièges à pirates peuvent simuler diverses unités internes et externes : serveurs Web, serveurs de e-mail, serveurs de bases de données, serveurs d’applications et même pare-feu. En tant que responsable de développement logiciel, j’utilise régulièrement des pièges à pirates pour mettre à jour les vulnérabilités à deux niveaux : le logiciel que mon équipe écrit et les OS dont nous dépendons.Mettre en place et gérer les pièges à pirates implique des considérations légales et une bonne connaissance des outils réseau et de l’autopsie d’ordinateur. Ma description de la manière de mettre en place et d’utiliser un piège à pirates suppose certaines notions des aspects légaux et éthiques de ce dispositif et une certaine expérience de l’autopsie d’un réseau et d’un ordinateur. J’utilise souvent Microsoft Virtual PC 2004 pour mes pièges à pirates. Bien que certains jugent VMware mieux équipé que Virtual PC, j’ai constaté que ce dernier offre un ensemble de fonctions pratiquement équivalent à un meilleur prix (129 dollars pour Virtual PC contre 199 dollars pour VMware).

Construire un piège à  pirates Virtual PC

Le principal critère de choix du matériel pour un piège à pirates virtuel sera le nombre de sessions virtuelles simultanées envisagé. En principe, un piège à pirates autonome, qui se contente d’une session, suffit pour tester les défenses périphériques ou pour recueillir des informations précoces à propos d’attaques potentielles. Cependant, vos desseins seront parfois plus ambitieux, au point de, par exemple, tester la sécurité d’un réseau interne dans son intégralité. Dans ce cas, il vous faudra très probablement un honeynet avec de multiples sessions virtuelles simultanées. C’est ce que montre la figure 1.

 Le nombre de sessions virtuelles simultanées possibles sur un ordinateur est limité par les deux facteurs classiques : puissance de traitement du système et mémoire. Virtual PC tourne sur un système Windows XP Professional ou Windows 2000 Professional avec un processeur 1 GHz ou plus rapide et un lecteur de CDROM. En général, chaque session virtuelle accroît les exigences du système : de 32 Mo à 256 Mo de mémoire et de 50 Mo à 4 Go d’espace disque. Donc, il faut prévoir un processeur Pentium 4 (P4) à 3 GHz ou plus rapide avec 1 Go de mémoire et un disque dur de 40 Go, pour conduire quatre ou cinq sessions virtuelles simultanées.

Il vous faudra probablement deux cartes réseau. Comme les sessions virtuelles n’auront pas de cartes réseau physiques, elles devront partager la carte réseau physique primaire avec l’hôte. Pour épauler le partage, Virtual PC offre un driver de périphérique en guise d’adaptateur de réseau virtuel. Il faut aussi installer du logiciel supplémentaire sur l’hôte (par exemple, un pare-feu poste, un superviseur de réseau) chargé de mettre en oeuvre les drivers de périphériques au niveau réseau qui, comme le driver Virtual PC, peuvent refuser ou modifier les paquets entrants et sortants. De ce fait, pour obtenir une vraie trace des paquets du trafic entrant et sortant du piège à pirates, il vaut mieux capturer le trafic à l’aide d’une seconde carte réseau. On peut enficher les deux cartes réseau dans un hub, comme le montre la figure 2, et configurer l’interface primaire avec une adresse publique sur votre réseau DMZ (zone démilitarisée) et l’interface secondaire avec une adresse privée, absente du réseau DMZ (dans l’idéal, l’adresse ne devrait même pas être routable). Vous pouvez ensuite installer le second adaptateur de réseau en mode promiscuité pour être à l’écoute du trafic provenant du premier adaptateur.

Je recommande également un lecteur de DVD-RW pour archiver les données d’autopsie sur un média en lecture seule. Avant d’établir un piège à pirates, j’ai passé des heures à attendre des copies d’images du disque dur afin de conserver la preuve pour l’analyse d’autopsie ultérieure. Ces étapes sont simplifiées dans un monde virtuel parce que le disque dur et le contenu de la mémoire ne sont rien d’autre que des fichiers sur le lecteur physique de l’ordinateur hôte. Si vous choisissez de créer un disque virtuel dynamique, le fichier contenant le disque virtuel atteindra en moyenne de 3 Go à 4 Go pour la plupart des OS Windows. Par conséquent, si vous songez à archiver ces données sur un média en lecture seule, il faudra un lecteur de DVD-RW.

Enfin, il faut choisir un OS pour le système hôte. Virtual PC 2004 ne prend en charge que Windows XP Professional et Windows 2000, mais il tourne en réalité sur Windows Server 2003 (mais vous recevrez un avertissement à l’installation). Le choix d’un OS est principalement déterminé par votre capacité à le sécuriser. Comme l’hôte du piège à pirates sera connecté à un réseau public, il est indispensable de le renforcer comme un hôte bastion. Bien que les trois OS puissent être suffisamment endurcis, je recommanderais XP ou Windows 2003 de préférence à Win2K comme plate-forme hôte, en raison de leur sécurité plus affirmée.

Téléchargez gratuitement cette ressource

Guide de Cloud Privé Hébergé

Guide de Cloud Privé Hébergé

Comment permettre aux entreprises de se focaliser sur leur cœur de métier, de gagner en agilité, réactivité et résilience en s’appuyant sur un socle informatique performant, évolutif et sécurisé ? Découvrez les avantages des solutions de Cloud Privé hébergé de la CPEM.

Tech - Par iTPro.fr - Publié le 24 juin 2010