> Tech > Passer à  l’exploitation réelle

Passer à  l’exploitation réelle

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Vous êtes presque prêts à utiliser le piège à pirates en exploitation réelle mais, au préalable, vous devriez examiner une dernière fois les configurations de sessions, prendre un instantané de preuve des sessions, et lancer les collecteurs de preuves sur l’hôte. J’utilise généralement une liste de contrôle à ce stade

Passer à  l’exploitation réelle

pour assurer la cohérence et l’intégrité de mon installation finale.

Pour examiner votre configuration, démarrez les sessions virtuelles et examinez manuellement chacune d’elles pour vous assurer qu’elle est bien installée. Si vous utilisez un honeynet, vérifiez les configurations du réseau. Pour chaque session, validez les profils internes et externes de chaque unité et faites un contrôle ponctuel pour vérifier que vous avez bien installé chaque session virtuelle de manière à collecter et à conserver des preuves éventuelles.

Je sauvegarde toujours un instantané de la configuration à partir de chaque session virtuelle, avant de passer à l’exploitation réelle. Le but est de créer un point de référence qui me servira à identifier les changements en cas de compour faire des instantanés des configurations système pour Unix ; ils sont beaucoup plus rares pour Windows. Si vous n’avez pas d’outils pour prendre un instantané de la configuration, je vous conseille de commencer manuellement. En particulier, faites des totaux de contrôle des fichiers et des instantanés des processus (y compris les modules actuellement chargés), services, drivers de périphériques, entrées de registres, ports ouverts, journaux d’événements, et toute autre preuve propre aux applications que vous utilisez. Vous trouverez des utilitaires permettant de faire des totaux de contrôle des fichiers et de prendre des instantanés du paramétrage d’OS, sur les services Web en shareware, à Sysinternals, ou sur le CD-ROM Microsoft Windows Security Resource Kit. Au fil du temps, vous pourrez automatiser ce processus avec des scripts personnalisés. J’ai écrit un utilitaire ligne de commande appelé Snapshot qui non seulement archive une grande quantité d’informations sur un système actif, mais peut aussi repérer les différences entre deux instantanés (un avant qu’un système ne soit compromis et un après, par exemple).

La dernière étape avant de passer à l’exploitation réelle consiste à commencer la collecte de preuves sur l’hôte. Au minimum, vous devez démarrer un superviseur de réseau et IDS. J’efface toujours la trace des paquets du superviseur et les journaux IDS avant de passer en production, afin qu’il soit plus facile d’examiner (et de classer) les preuves propres à une session de piège à pirates. Le moment est venu de brancher votre hôte dans la DMZ et d’activer pour de bon le piège à pirates.

Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT