Préparer l’hôte

intrusions internes et externes. Au minimum, appliquez tous les correctifs de sécurité existants, installez un pare-feu « stateful », configurez les stratégies de sécurité, permettez l’audit, restreignez les privilèges des comptes, et désactivez tous les services réseau non essentiels. Si vous ne savez pas bien comment renforcer ou durcir un système, je vous conseille de lire les guides de configuration de sécurité de la NSA (National Security Agency). (Pour trouver ces guides, voir l’encadré Autres ressources, ci-après.) Un dernier conseil : le test de pénétration doit être la dernière étape de l’opération de durcissement. Utilisez pour cela des outils de sécurité comme Nmap et deux (ou plus) scanners de vulnérabilité. Et, bien sûr, résolvez les éventuels problèmes ainsi décelés avant de connecter le système à un réseau public. Le tableau 1 indique où trouver Nmap et les autres outils mentionnés dans cet article.

Si vous envisagez d’utiliser les preuves recueillies à partir d’un piège à pirates, pour d’éventuelles actions en justice, tenez- en compte lors de la planification de la sécurité de l’hôte. Il faudra considérer et documenter soigneusement chaque mesure de sécurité afin de pouvoir la produire devant un tribunal. En particulier, faites très attention au risque de contamination réciproque de l’hôte et des sessions virtuelles.

Une fois l’hôte renforcé, il faudra installer les applications et utilitaires supplémentaires, nécessaires pour l’exploitation du piège à pirates et pour l’autopsie ultérieure. Il vous faudra au minimum un système de détection d’intrusions (IDS, Intrusion Detection System), un superviseur de réseau, des outils de test de pénétration et des outils d’autopsie.

Un IDS prévient d’intrusions potentielles dans vos sessions virtuelles. Il existe divers types d’IDS. En général, tout IDS basé sur l’hôte, comme Snort, est acceptable. Bien que rien ne vous empêche d’utiliser l’IDS avec un ensemble de règles ou de signatures par défaut, il est préférable de personnaliser les règles pour diminuer le nombre de fausses alarmes et pour mieux refléter le déploiement et l’utilisation du piège à pirates. Pour être certain que l’IDS capture bien tout le trafic bidirectionnel des sessions virtuelles, configurez- le de manière à ce qu’il utilise la seconde carte réseau dormante pour écouter le trafic émanant de la première.

Il faudra aussi un superviseur de réseau pour reconnaître les attaques potentielles et reconstruire les attaques connues. Pour ma part, je capture toujours tout le trafic entrant et sortant pour l’hôte et les sessions virtuelles, entre le moment où le piège à pirates entre en action et celui où je le déconnecte. Comme vous passerez probablement des heures à examiner les traces des paquets, installez un superviseur (monitor) avec lequel vous vous sentez à l’aise. Il est outil de supervision de réseau. Mais il est limité et trop compliqué pour analyser les sessions à l’intérieur du trafic. Si vous n’êtes pas déjà habitué à un superviseur de réseau spécifique, essayez donc Ethereal.

Comme outils de test de pénétration, j’installe généralement une sélection d’utilitaires tirée des outils Windows Server 2003 Resource Kit, le CD-ROM Microsoft Windows Security Resource Kit et Sysinternals. Et aussi au moins un scanner de vulnérabilité et Nmap. Quant aux outils d’autopsie, j’opte pour un éditeur hexadécimal et certains utilitaires provenant de deux kits de ressources. J’ai aussi écrit une suite d’utilitaires destinés spécialement à recueillir et à analyser les preuves fournies par mon piège à pirates.