Choisir le matériel et le système d'exploitation
Préparer l'hôte
Créer des sessions virtuelles
Créer votre piège à pirates (Honeypot)
Passer à l'exploitation
Au-delà de l'aspect technique

Les pièges à pirates, sont utilisés pour détecter très tôt les intrus potentiels, identifier les failles des stratégies de sécurité, et améliorer la prise de conscience globale d'une entreprise en matière de sécurité. Les pièges à pirates peuvent simuler diverses unités internes et externes : serveurs Web, serveurs de e-mail, serveurs de bases de données, serveurs d'applications et même pare-feu. Les responsables sécurité utilisent régulièrement des pièges à pirates pour mettre à jour les vulnérabilités à deux niveaux : les logiciels conçus par les Etudes et les OS dont nous dépendons. Mettre en place et gérer les pièges à pirates implique des considérations légales et une bonne connaissance des outils réseau et de l'autopsie d'ordinateur. La description de la manière de mettre en place et d'utiliser un piège à pirates suppose certaines notions des aspects légaux et éthiques de ce dispositif et une certaine expérience système et réseau. Il est possible d'utiliser Microsoft Virtual PC 2004 pour les pièges à pirates. Bien que certains jugent VMware mieux équipé que Virtual PC, ce dernier offre un ensemble de fonctions pratiquement équivalent et vous permettra même en version d'évaluation de vous familiariser avec un honeypot. Cela dit, VMWare a ma préference mais nécessite une version serveur. Nous étudierons ici la mise en oeuvre d'un piège sur Windows XP Professional avec un serveur 2003 émulé sur Virtual PC 2004.

Choisir le matériel et l'OS

Le principal critère de choix du matériel pour un piège à pirates virtuel sera le nombre de sessions virtuelles simultanées envisagé. En principe, un piège à pirates autonome, qui se contente d'une session, suffit pour tester les défenses périphériques ou pour recueillir des informations précoces à propos d'attaques potentielles. Cependant, des desseins parfois plus ambitieux, pourront amener à, par exemple, tester la sécurité d'un réseau interne dans son intégralité. Dans ce cas, il faudra très probablement un honeynet avec de multiples sessions virtuelles simultanées (plusieurs centaines voir en milliers pour les grands projets). Le nombre de sessions virtuelles simultanées possibles sur un ordinateur est limité par deux facteurs classiques : puissance de traitement du système et mémoire. Virtual PC tourne sur un système Windows XP Professional avec un processeur 2 GHz ou plus rapide (Dual core et +) et un lecteur de CDROM. En général, chaque session virtuelle accroît les exigences du système. Donc, il faut prévoir un bon processeur avec 2-4 Go de mémoire et un disque dur de 100Go suffit, pour conduire plusieurs sessions virtuelles simultanées.

Il vous faudra aussi deux cartes réseau. Comme les sessions virtuelles n'auront pas de cartes réseau physiques, elles devront partager la carte réseau physique primaire avec l'hôte. Pour épauler le partage, Virtual PC comme VMWare offrent un driver de périphérique en guise d'adaptateur de réseau virtuel. Il faut aussi installer des logiciels supplémentaires sur l'hôte (par exemple, un pare-feu, un superviseur de réseau, analyseur de trames, scanners de vulnérabilité, etc.) chargé de mettre en oeuvre la surveillance des périphériques réseau qui, comme le driver Virtual PC, peut refuser ou modifier les paquets entrants et sortants. De ce fait, pour obtenir une vraie trace des paquets du trafic entrant et sortant du piège à pirates, il vaut mieux capturer le trafic à l'aide d'une seconde carte réseau en mode promiscuité. On peut enficher les deux cartes réseau dans un hub, et configurer l'interface primaire avec une adresse publique sur votre réseau DMZ (zone démilitarisée) et l'interface secondaire avec une adresse privée "dite non routable", absente du réseau DMZ. Vous devrez installer le second adaptateur de réseau en mode promiscuité pour être à l'écoute du trafic provenant du premier adaptateur.

Il est recommandé également un lecteur de DVD-RW pour archiver les données d'autopsie sur un média en lecture seule. Avant d'établir un piège à pirates, il convient de créer des images disque afin de conserver la preuve pour l'analyse d'autopsie ultérieure. Ces étapes sont simplifiées dans un monde virtuel parce que le disque dur et le contenu de la mémoire ne sont rien d'autre que des fichiers sur le lecteur physique de l'ordinateur hôte. Si vous choisissez de créer un disque virtuel dynamique, permettant d'allouer une quantité d'espace disque dynamique variable, le fichier contenant le disque virtuel atteindra en moyenne de 7 Go à 15Go pour la plupart des OS Windows. Par conséquent, si vous songez à archiver ces données sur un média en lecture seule, il faudra un lecteur de DVD-RW. Enfin, il faut choisir un OS pour le système hôte. Virtual PC 2004 ne prend en charge que Windows XP Professional et Windows 2000, mais il tourne en réalité sur Windows Server 2003 (vous recevrez un avertissement à l'installation). Le choix d'un OS est principalement déterminé par votre capacité à le sécuriser. Comme l'hôte du piège à pirates sera connecté à un réseau public, il est indispensable de le renforcer comme un hôte bastion. Bien que ces OS puissent être suffisamment endurcis, je recommanderais plutôt XP pro ou Windows serveur 2003 de préférence à Windows 2000 serveur comme plate-forme hôte, en raison de l'age de l'OS.

Préparer l'hôte

Tout piège à pirates doit être sécurisé comme un hôte bastion. Et ce, même s'il est protégé d'Internet par un pare-feu ou par un routeur. Pour avoir toute confiance dans les données collectées, il faut avoir protégé le piège à pirates contre les intrusions internes et externes. Au minimum, appliquez tous les correctifs de sécurité existants, installez un pare-feu "stateful", permettant d'inspecter les paquets, configurez les stratégies de sécurité, permettez l'audit, restreignez les privilèges des comptes, encrypter les mots de passe et évidemment désactivez tous les services non essentiels. Je conseille de lire le guide de configuration de sécurité de la NSA (National Security Agency). Vous pouvez télécharger un ancien NSAGuide disponible pour NT4 => ici.

Conseils :

Le test de pénétration doit être la dernière étape de l'opération de durcissement. Utilisez pour cela des outils de sécurité comme Nmap et deux scanners (voir plus) de vulnérabilité. Et, bien sûr, résolvez les éventuels problèmes ainsi décelés avant de connecter le système à un réseau public.

Informez-vous juridiquement, si vous envisagez d'utiliser les preuves recueillies à partir d'un piège à pirates, pour d'éventuelles actions en justice. Tenez- en compte lors de la planification de la sécurité de l'hôte, car il faudra considérer et documenter soigneusement chaque mesure de sécurité. Soyez vigilant en particulier concernant le risque de contamination réciproque de l'hôte et des sessions virtuelles. Une fois l'hôte renforcé, il faudra installer les applications et utilitaires supplémentaires nécessaires pour l'exploitation du piège à pirates et pour l'autopsie ultérieure. Il vous faudra au minimum un système de détection d'intrusions (IDS, Intrusion Detection System), un superviseur de réseau, des outils de test de pénétration et des outils d'autopsie.

Un IDS prévient d'intrusions potentielles dans vos sessions virtuelles.

Il existe divers types d'IDS. En général, tout IDS basé sur l'hôte, comme Snort, est acceptable. Bien que rien ne vous empêche d'utiliser l'IDS avec un ensemble de règles ou de signatures par défaut, il est préférable de personnaliser les règles pour diminuer le nombre de fausses alarmes et pour mieux refléter le déploiement et l'utilisation du piège à pirates. Pour être certain que l'IDS capture bien tout le trafic bidirectionnel des sessions virtuelles, configurez- le de manière à ce qu'il utilise la seconde carte réseau 'dormante' pour écouter (Mode promiscuité) le trafic émanant de la première. Il faudra aussi un superviseur de réseau pour reconnaître les attaques potentielles et reconstruire les attaques connues. Capturer tout le trafic entrant et sortant de l'hôte et des sessions virtuelles, entre le moment où le piège à pirates entre en action et où il est déconnecté. Comme vous passerez probablement des heures à examiner les traces des paquets, installez un superviseur avec lequel vous vous sentez à l'aise. Si vous n'êtes pas déjà habitué à un superviseur de réseau spécifique, essayez Ethereal.

Comme outils de test de pénétration, installez une sélection d'utilitaires tirée des outils de Windows Server 2003 Resource Kit, le CD-ROM Microsoft Windows Security Resource Kit et Sysinternals. Et aussi au moins un scanner de vulnérabilité avec Nmap. Quant aux outils d'autopsie, un éditeur hexadécimal et certains utilitaires provenant des deux kits de ressources WS2K3.

Créer des sessions virtuelles

Il faut relativement peu de temps pour installer Virtual PC ou VMWare pour qu'on soit familiarisé avec ce type de logiciel. Comme sur Virtual PC, il y a peu d'options, vous passerez l'essentiel du temps de préparation à configurer et à installer les sessions virtuelles. Un wizard simple permet de configurer la mémoire, jusqu'à trois lecteurs de disque dur, jusqu'à quatre cartes réseau, et le support pour des ports COM, des ports parallèles, et une carte son. Virtual PC supporte quatre types de disques durs virtuels : dynamique, de taille fixe, différencié et lié au physique. Chacun de ces quatre types a pour résultat de créer un fichier sur un disque physique. Les lecteurs dynamiques s'étendent selon les besoins de l'OS. Les disques de taille fixe utilisent une quantité d'espace prédéfinie, que l'on pourra modifier après création. Les disques différenciés permettent de séparer les changements à partir d'une image ligne de base originale pour un disque. Le lien à un disque physique permet d'installer le disque virtuel sur un disque physique non monté.

Chacune des quatre possibilités a des avantages et des inconvénients dans un piège à pirates:

- Le lien à un disque physique augmente le risque de contamination croisée à partir de l'hôte, mais est idéal si l'on envisage d'utiliser des lecteurs amovibles pour fournir des preuves.

- Un lecteur différencié permet de mélanger et de comparer différents changements par-dessus une image de lecteur ligne de base, mais complique quelque peu l'analyse d'autopsie au niveau binaire.

- Un lecteur dynamique présente l'intérêt d'utiliser moins d'espace disque sur l'hôte et il s'étendra dynamiquement en fonction des besoins de la session virtuelle, mais il ne permet pas de contrôler la taille apparente du disque.

- Quant au disque de taille fixe, il oblige à pré-allouer l'espace sur le disque physique de l'hôte, au risque d'éveiller des soupçons si vous allouez trop peu d'espace sur le disque, ou, au contraire, de gaspiller de l'espace si vous en allouez trop, mais il permet de contrôler la taille visible du disque.

Toutes ces options disque supportent la fonction undo disks, qui fournit un contrôle transactionnel sur les changements apportés aux disques (les changements sont rangés dans un fichier séparé et vous pouvez faire un rollback des changements au terme d'une session. Si vous ne savez pas quel type de disque choisir, utilisez des lecteurs dynamiques et évitez les undo disks, parce qu'ils compliquent l'analyse d'autopsie.

Quel que soit le disque choisi, prenez le temps d'effacer le disque virtuel avant de l'utiliser. Pour effacer le disque, créez d'abord une disquette ou un CD-ROM initialisable qui contient un utilitaire d'effacement de disque. Ou bien, créez des images de la disquette ou du CD-ROM initialisables, puis chargez les images dans la session virtuelle. Après l'initialisation sur un OS, vous pourrez exécuter l'utilitaire d'effacement de disque. L'utilitaire Active@ KillDisk, que l'on trouve en freeware, inclut une image ISO (International Organization for Standardization) initialisable, que l'on peut utiliser pour initialiser une session virtuelle.

Bien que Virtual PC autorise trois types de connectivité réseau le réseau partagé par l'intermédiaire de NAT (Network Address Translation), partage d'un adaptateur de réseau physique, et utilisation d'adaptateurs de bouclage comme des cartes réseau virtuelles. En revanche le simple partage d'un adaptateur de réseau physique vaut pour un piège à pirates parce que vos sessions virtuelles doivent être adressables de l'extérieur de l'hôte. Par conception, l'adaptateur de réseau Virtual PC fonctionne comme s'il était enfiché dans un concentrateur avec une liaison montante commutée. Si vous utilisez deux cartes réseau comme mentionné précédemment, vous ne devez sélectionner que la carte réseau primaire pour la partager avec vos sessions virtuelles.

Par défaut, une session virtuelle partage le CD-ROM et les disquettes de l'hôte. Donc, si vous insérez un CD-ROM ou une disquette dans le lecteur de l'hôte, vous le verrez dans les sessions virtuelles. Pour que le CD-ROM physique ne soit jamais visible dans une session virtuelle, laisser une image ISO chargée dans le lecteur de CD-ROM virtuel.

Créer votre piège à pirates

Pour créer un piège à pirates, il faut : installer l'OS de base pour chaque système virtuel, configurer le profil de chaque système virtuel, valider le profil par des tests, et sauvegarder vos sessions virtuelles. Toutes ces étapes doivent se dérouler sur un réseau privé isolé pour éliminer tout risque de contamination externe. De plus, il est fortement recommandé de prendre des notes soignées et abondantes pendant la préparation de chaque session virtuelle. Cette pratique vous donnera une bonne description des pièges à pirates et vous aidera dans l'autopsie ultérieure des systèmes virtuels compromis.

Le profil d'un système virtuel est la configuration spécifique, y compris la mise en place de l'OS et du logiciel tierce partie et l'exposition de certains services. Ainsi, pour tester les vulnérabilités d'une ferme ou d'un serveur Web, vous pourriez établir un profil qui reflète vos serveurs en utilisant un serveur Web Microsoft IIS 5.0 sur Win2K3, sécuriser IIS avec l'outil IIS Lockdown, et utiliser un filtre de paquets qui bloque tous les ports sauf TCP 80 pour HTTP et le port 443 pour HTTPS. Vous pouvez ensuite sauvegarder cette session virtuelle comme un profil de base puis créer des variantes de ce profil pour ajouter ou enlever des vulnérabilités connues, afin d'affiner davantage les tests.

Installer l'OS de base est simple mais plus long sur une machine virtuelle. Une session virtuelle étant configurée, vous pouvez insérer un CD-ROM initialisable ou une image ISO avec l'OS désiré et effectuer une installation standard. Malheureusement, l'installation des OS dans Virtual PC est plus lente qu'on ne l'imagine. Il faut environ 30 minutes pour installer Windows XP Pro ou 2003 sur l'OS hôte, mais plus de 4 heures pour l'installer dans la machine virtuelle. Cela dit, il faut reconnaître que une fois installés les OS invités fonctionnent très bien. Il en pratiquement de même pour VMWare qui necessite un certain nombre de configurations pour bien mettre en place et rensigner votre'installation de la Virtual Machine ou VM. Ensuite, il faut configurer chaque session virtuelle avec le profil désiré. C'est-à-dire : configurer l'OS, installer les composants voulus, configurer la sécurité du système, appliquer les packs et les correctifs de service souhaités et installer tout logiciel tierce partie envisagé. Si vous envisagez d'exposer les services publiquement disponibles, comme un serveur Web, assurez-vous que les services sont configurés de façon à masquer le fait qu'ils sont en réalité un piège à pirates. Ainsi, un serveur Web dont le contenu est sans rapport avec l'organisation qui le gère, ou dont le contenu est obsolète, pourrait fort bien éveiller les soupçons d'attaquants potentiels. En configurant chaque session virtuelle, assurez-vous qu'elle est capable de fournir les preuves nécessaires. Bien que vous puissiez collecter quelques preuves (comme le trafic du réseau) à partir de l'extérieur d'une session virtuelle, certaines des meilleures preuves d'autopsie viendront d'une session virtuelle compromise. Activez toujours la journalisation pour tous les login/logout, processus, gestion de comptes, et événements de stratégie et augmentez la taille des journaux d'événements.

Ensuite, testez les profils externes et internes de chaque système virtuel pour s'assurer qu'ils fonctionnent comme prévu. Par exemple, pour exposer un système utilisant un serveur Web avec un pare-feu poste qui n'autorise que le trafic HTTP avec TCP entrant sur le port 80, il faut utiliser vos outils de test de pénétration pour vérifier que vous avez installé le profil correctement. L'aspect virtuel du profil externe d'une session virtuelle sera pratiquement indétectable. Hélas, il n'en va pas de même du profil interne d'une session virtuelle. Comme Virtual PC émule le matériel, les sessions virtuelles sont installées avec des drivers génériques, de sorte qu'un assaillant aguerrit peut s'apercevoir rapidement que les sessions sont virtuelles. Le problème sera pratiquement identique avec des sessions VMware, à une différence près (mais elle est de taille...) : dans Virtual PC, le disque dur a la description Virtual HD et vous ne pouvez pas cacher cette description. La bonne nouvelle est tout de même que l'adoption rapide de la virtualisation au cours des deux dernières années rend les sessions virtuelles plus courantes et, par conséquent, moins suspectes aux yeux d'un attaquant potentiel.

La dernière étape de préparation de sessions virtuelles consiste à faire une sauvegarde de chaque session. Trois raisons à cela : premièrement, l'installation et la configuration de vos sessions demandent beaucoup de travail, et une bonne sauvegarde vous évitera un risque de perte catastrophique. Deuxièmement, si un système est compromis, vous pourrez revenir à son état précédent pour comparaison et analyse. Et, finalement, vous voudrez souvent apporter de petites modifications à la configuration d'une session virtuelle spécifique, pour recueillir davantage de preuves, et la sauvegarde permettra dans ce cas de revenir rapidement à une configuration de base pour procéder aux changements voulus.

Passer à l'exploitation réelle

Si vous êtes presque prêts à utiliser le piège à pirates en exploitation réelle, au préalable, vous devriez examiner une dernière fois les configurations de sessions, prendre un instantané de preuve des sessions, et lancer les collecteurs de preuves sur l'hôte. Utilisez une liste de contrôle à ce stade pour assurer la cohérence et l'intégrité de l'installation finale. D'ou l'intérêt de très bien renseigner votre installation... Pour examiner votre configuration, démarrez les sessions virtuelles et examinez manuellement chacune d'elles pour vous assurer qu'elle est bien installée. Si vous utilisez un honeynet, vérifiez les configurations du réseau. Pour chaque session, validez les profils internes et externes de chaque unité et faites un contrôle ponctuel pour vérifier que vous avez bien installé chaque session virtuelle de manière à collecter et à conserver des preuves éventuelles. Sauvegardez toujours un instantané de la configuration à partir de chaque session virtuelle, avant de passer à l'exploitation réelle. Le but est de créer un point de référence qui servira à identifier les changements. Si vous n'avez pas d'outils pour prendre un instantané de la configuration, comme cela se fait sur VMWare, je conseille de commencer manuellement. En particulier, faites des totaux de contrôle des fichiers et des instantanés des processus (y compris les modules actuellement chargés), services, drivers de périphériques, entrées de registres, ports ouverts, journaux d'événements, et toute autre preuve propre aux applications que vous utilisez. Vous trouverez des utilitaires permettant de faire des totaux de contrôle des fichiers et de prendre des instantanés du paramétrage d'OS, sur les services Web en shareware, à Sysinternals, ou sur le CD-ROM Microsoft Windows Security Resource Kit. Au fil du temps, vous pourrez automatiser ce processus avec des scripts personnalisés. Il est possible de créer un utilitaire en ligne de commande pour faire des Snapshot qui archiverons une grande quantité d'informations sur un système actif, mais servirons aussi à repérer les différences entre deux instantanés (un avant qu'un système ne soit compromis et un après, par exemple). Le moment est venu de brancher votre hôte dans la DMZ et d'activer pour de bon le piège à pirates.

La dernière étape avant de passer à l'exploitation réelle consiste à commencer la collecte de preuves sur l'hôte. Au minimum, vous devez démarrer un superviseur de réseau et IDS. Effacez la trace des paquets du superviseur et les journaux IDS avant de passer en production, afin qu'il soit plus facile d'examiner et de classer les preuves propres à une session de piège à pirates.

Au-delà de l'aspect technique, l'aspect juridique et éthique

Lors du masquage des systèmes, faites attention à la signification et à l'implication de deux notions : l'appât ou leurre, légal mais qui soulève quelques réticences sur le plan éthique, et l'incitation à commettre un délit, carrément illégale. L'exploitation d'un serveur Web piège à pirates anonyme sur votre périmètre peut appâter un attaquant interne et l'inciter à venir. Mais le fait d'envoyer un e-mail à des attaquants potentiels sur l'existence du serveur Web et du contenu potentiel pourrait être considéré comme une incitation abusive. Même si des experts juridiques ne pensent pas qu'un procès basé sur l'incitation avec des pièges à pirates soit gagnable, vous devriez faire votre éducation à ce sujet. La plupart des experts recommandent que les pièges à pirates internes affichent un avertissement indiquant que les utilisateurs doivent être autorisés et s'exposent à être surveillés.

Si vous envisagez d'installer et d'utiliser un piège à pirates, renseignez-vous bien sur tous ses aspects, sur le plan juridique, éthique et technique. Comme les pièges à pirates sont un sujet assez chaud dans la communauté "sécuritaire", plus répandus en revanche aux USA vous trouverez suffisament d'informations à leur sujet. Mais avant de vous lancer dans l'exploitation d'un piège à pirates, vous devez avoir un objectif clair et bien défini, et être prêt à consacrer le temps nécessaire à toutes les facettes de son utilisation. Virtual PC, bien qu'il ne soit pas vraiment destiné à être utilisé comme piège à pirates, offre un jeu de fonctions souple et économique et vous permettra de vous familiariser avec le concept et de sécuriser votre réseau en détournant d'éventuelles attaques venant de l'extérieur.