TP Pentest / IDS / Protection applicative
Fabrice Prigent 13 mars 2009

1

Pr´ambule e

Le but de ce TP est de voir ce qui se passe quand les pare-feux ont ´t´ ee install´s, les ports n´cessaires ont ´t´ ouverts. e e ee Nous partirons d’une cible ”cr´dible” pour le TP en cr´ant un site web voe e lontairement vuln´rable. Ceci sera fait grˆce ` un logiciel honeypot. e a a Nous travaillerons ensuite sur un pentest (penetration test) rapide pour voir ce que nous obtenons en v´rifiant le site en question, et nous constaterons les e d´gˆts. e a Nous analyserons ce que nous donnent les journaux ` propos de ce pentest, a et nous travaillerons ensuite ` la mise en place de d´tections plus ´labor´e grˆce a e e e a a un IDS (d´tecteur d’intrusion). ` e Enfin, Nous travaillerons ` la mise en place d’une protection applicative sur a ce dispositif

2

Installation d’une cible

Afin de cr´er une cible apte ` d´clencher des alertes, et nous ´viter la mise e a e e en place de logiciels trop lourd, nous allons utiliser des dispositifs de honeypot ”applicatif”. Deux logiciels libres permettent de faire cela de mani`re simple e – GHH : http ://ghh.sourceforge.net qui n’a pas ´volu´ depuis le 23 f´vrier e e e 2007 – PHPHOP : qui n’est plus maintenu depuis 2006, et n’est plus disponible. Nous utiliserons sa version 0.5

2.1

Installation du serveur WWW

apt-get install apache2 apt-get php5 apt-get php5-mysql /etc/init.d/apache2 start

2.2

Installation du honeypot PHPHOP

cd /var/www # Si le r´pertoire html n’existe pas e ln -s . html 1

cd html wget http://192.168.30.175/securite/phphop.tgz tar zxvf phphop.tgz rm phphop.tgz # # Cr´ation du r´pertoire de logs e e # mkdir logs chown www-data:www-data logs # # On place les applications simul´es ` l’endroit habituel e a # ln -s phphop/applis/phpmyadmin/ phpmyadmin ln -s phphop/applis/horde/ horde L’ensemble des scripts du honeypot se trouve d´sormais accessible par http ://127.0.0.1/phphop e et http