Maintenant que nous avons identifié les systèmes d'exploitation et les outils principaux à utiliser pour un test d'intrusion, vous allez installer et configurer votre environnement d'entraînement.
Installez Kali
Nous allons installer Kali Linux ensemble. Pour ce faire, vous pouvez vous rendre sur le site officiel sur ce lien, et télécharger la version qui correspond à votre matériel.
Une fois le fichier ISO téléchargé, lancez le système d'exploitation.
Je vous conseille quand même l’installation de Kali Linux sur une machine virtuelle VirtualBox car sinon il faut beaucoup de ressources pour la faire tourner dans la mémoire vive uniquement.
Il peut être intéressant d’installer également les pilotes graphiques de VirtualBox pour avoir toutes les résolutions disponibles avec la commande suivante :
apt-get install virtualbox-guest-x11
Au premier démarrage, puis avant chaque test d’intrusion, je conseille de réaliser les petites manipulations suivantes :
Vérifiez la présence de mises à jour en tapant les 2 commandes suivantes dans un terminal :
apt-getupdate&&apt-getupgrade apt-getdist-upgrade
Et enfin, vérifier si votre système Kali est bien propre et sain de tout malware. Pour cela, tapez les 2 commandes suivantes dans un terminal :
/usr/sbin/chkrootkit rkhunter-c
Installez Nessus
Nessus est un outil de scan de vulnérabilité très performant, simple d'utilisation, tout en étant très puissant. C'est un logiciel payant pour les professionnels, mais qui peut être utilisé gratuitement de manière personnelle.
Sur cette version gratuite, il y a des limitations mais elles ne seront pas gênantes pour notre cours. Il est également possible d’utiliser, openVAS, équivalent de Nessus dans le monde libre, mais il est un peu moins convivial donc nous aborderons Nessus dans ce cours.
Pour ce faire, il faut se rendre sur le site officiel de Nessus :
Téléchargez la version adaptée à votre distribution de Kali. Ensuite, pour l'installation nous allons taper la ligne de commande suivante dans un terminal :
dpkg -i Nessus-*.deb
Puis, pour que Nessus démarre, nous allons saisir la commande suivante dans un terminal :
/etc/init.d/nessusd start
Enfin, pour que le service Nessus démarre à chaque démarrage de Kali automatiquement, il faut écrire la commande ci-dessous dans un terminal :
update-rc.d nessusd enable
Installez Metasploit
Metasploit framework est un outil d'exploitation de vulnérabilités très puissant. Il est intégralement en ligne de commande. Il possède une base de données énorme avec les vulnérabilités existantes à ce jour.
Dans notre exemple, mettez à jour l'application Metasploit framework en tapant les 2 commandes suivantes dans un terminal :
msfconsole aptupdate;aptinstallmetasploit-framework
En résumé
La configuration de l'environnement du test d'intrusion est très importante pour réaliser un test d’intrusion dans de bonnes conditions.
La Distribution Kali Linux est conçue spécialement pour les tests d'intrusion.
Avant chaque test d'intrusion, il faut s'assurer que ces outils sont à jour et intègres.
Il faut un scanner de vulnérabilité comme Nessus ou openVAS.
Il faut également un outil d'exploitation de vulnérabilité comme le célèbre Metasploit framework.