Passer à  l’exploitation réelle

pour assurer la cohérence et l’intégrité de mon installation finale.

Pour examiner votre configuration, démarrez les sessions virtuelles et examinez manuellement chacune d’elles pour vous assurer qu’elle est bien installée. Si vous utilisez un honeynet, vérifiez les configurations du réseau. Pour chaque session, validez les profils internes et externes de chaque unité et faites un contrôle ponctuel pour vérifier que vous avez bien installé chaque session virtuelle de manière à collecter et à conserver des preuves éventuelles.

Je sauvegarde toujours un instantané de la configuration à partir de chaque session virtuelle, avant de passer à l’exploitation réelle. Le but est de créer un point de référence qui me servira à identifier les changements en cas de compour faire des instantanés des configurations système pour Unix ; ils sont beaucoup plus rares pour Windows. Si vous n’avez pas d’outils pour prendre un instantané de la configuration, je vous conseille de commencer manuellement. En particulier, faites des totaux de contrôle des fichiers et des instantanés des processus (y compris les modules actuellement chargés), services, drivers de périphériques, entrées de registres, ports ouverts, journaux d’événements, et toute autre preuve propre aux applications que vous utilisez. Vous trouverez des utilitaires permettant de faire des totaux de contrôle des fichiers et de prendre des instantanés du paramétrage d’OS, sur les services Web en shareware, à Sysinternals, ou sur le CD-ROM Microsoft Windows Security Resource Kit. Au fil du temps, vous pourrez automatiser ce processus avec des scripts personnalisés. J’ai écrit un utilitaire ligne de commande appelé Snapshot qui non seulement archive une grande quantité d’informations sur un système actif, mais peut aussi repérer les différences entre deux instantanés (un avant qu’un système ne soit compromis et un après, par exemple).

La dernière étape avant de passer à l’exploitation réelle consiste à commencer la collecte de preuves sur l’hôte. Au minimum, vous devez démarrer un superviseur de réseau et IDS. J’efface toujours la trace des paquets du superviseur et les journaux IDS avant de passer en production, afin qu’il soit plus facile d’examiner (et de classer) les preuves propres à une session de piège à pirates. Le moment est venu de brancher votre hôte dans la DMZ et d’activer pour de bon le piège à pirates.