Cet article est écrit en particulier pour les lecteurs de mon cours Les réseaux de zéro. Bien entendu, puisqu’il n’est pas protégé par mot de passe, tout le monde est invité à participer à ce jeu.

Un reproche qui est régulièrement fait au cours Les réseaux de zéro est le manque de pratique. Alors je vous propose un petit jeu qui servira de TP pour la partie sécurité.  Les cours qui pourraient permettre de gagner ce jeu ne sont pas encore en ligne, mais vous aurez de l’aide pour compenser.

Je vous propose de prendre le contrôle total d’un serveur. En d’autres termes, de rooter un serveur. Ce serait pratique de vous donner une adresse et de vous dire « à vous de jouer », malheureusement, il suffit qu’une personne y mette le bazar pour que plus personne ne puisse jouer. Je vous propose donc de télécharger une machine virtuelle VirtualBox (direct download / torrent) (environ 300 Mo compressée, 1 Go décompressée, téléchargez-la tout en lisant pour gagner du temps) que vous avez juste à lancer depuis votre poste et vous vous débrouillez. 🙂 Téléchargez VirtualBox si vous ne l’avez pas déjà, c’est gratuit et multi-plateformes.

Un peu d’aide pour ceux qui ne connaissent pas VirtualBox : c’est un logiciel qui permet simuler un ordinateur. Pour créer le serveur, dans VirtualBox, cliquez sur New -> Suivant -> dans le champ « Nom », tapez « debian » -> mettez 192 Mio de RAM, c’est suffisant -> sélectionnez « Utiliser un disque dur existant », cliquez sur l’icone à droite et choisissez le fichier que vous venez de décompresser -> cliquez sur Créer. Ensuite, il n’y a plus qu’à cliquer sur Démarrer ! Vous n’avez plus besoin d’y toucher après.

En vidéo, c’est plus clair :

Les règles : vous devez trouver un code à poster dans les commentaires (c’est un catch-the-flag). Ce code est dans le répertoire personnel du super-utilisateur… Ce qui implique que vous devez rooter le serveur ! Interdiction d’utiliser un système « live » comme un live-CD, évidemment. 🙂 De toute façon, vous devrez expliquer comment vous avez fait, donc si vous trichez, c’est grillé !

Conseils : mettez la carte réseau virtuelle en mode bridge (comme dans la vidéo). Le serveur lance dhclient au boot… nmap peut servir mais n’est pas indispensable. Google est votre ami si vous ne comprenez pas ce que je raconte. 🙂

Le serveur est volontairement très peu sécurisé ! C’est assez facile d’en prendre le contrôle. Les réseaux de zéro, c’est pour les zéros, comme son nom l’indique ! Et pourtant…

Cet exercice que je vous propose est totalement légal. Par contre, chercher à pénétrer dans des serveurs sans autorisation l’est beaucoup moins. Je dis ça, je dis rien…

Bonne chance ! La correction viendra bientôt. Essayez par vous-mêmes en attendant !

Mise à jour : voici la correction en vidéo. J’ai zappé les détails, notamment au niveau du DHCP, je considère que vous avez lu l’article à ce sujet. N’hésitez pas à poser des questions, cela servira pour déterminer la manière dont seront écrits les cours de sécurité des Réseaux de Zéro.

Publicités