Discussion :

[Sophie17]

Bonjour ,

Je souhaiterais savoir quel type de technologie pouvait me permettre d’avoir des VM online avec une monter en charge car il y aura 400 personnes un peu prés de connecter sachant que chaque personne aura sa propre VM (VM en mode terminal donc non graphique) ?

Ce que je ne veux pas c'est que cette VM soit téléchargeable, ça aurait était plus simple certes mais ce n'est pas l'objectif

[EliasF00F]

Bonjour Sophie17,

Si vous avez un besoin de "VM en mode terminal donc non graphique" vous pouvez tester LXC - Linux containers: https://linuxcontainers.org/lxc/introduction/
Ça n'est pas une VM vraie, mais ces "containers" repondent pleinement aux nécessités.

[Sophie17]

Bonjour EliasF00F ,

Prenons l'exemple suivant :

J'ai une VM qui sert de challenge de pentest par exemple.

Je souhaite savoir si par exemple 400 personnes peuvent accéder à la VM mais avec chacun son propre environnement, c'est-à-dire le client_1 est à 80% du challenge tandis que le client_2 est à 10% mais utilise le même challenge de la VM, est-ce possible ?

Et après j'imagine que oui mais le serveur qui tournera derrière est-il possible de lui dire que si il atteint 400 personnes sur la VM qui doit arrêter d'ajouté un autre client et qui devra patienter ? (Pour pas abuser de la ressource)

[EliasF00F]

Bonjour Sophie17,
Quant à pentest je ne sais pas ce que ça peut être. Mais il faut prévoir les situations de violation de l'intégrité de conteneur par certains pentests. Evidemment, le challenge peut comporter exclusivement des pentests pour les objets subordonnés hiérarchiquement au conteneur, i.e. on ne peut pas faire du pentest sur le syscalls à l'intérieur du conteneur, mais faire du pentest de bash c'est normal.
Les autres exigences supposent une solution individuelle par exemple sur la base de lxd ( https://lxd.readthedocs.io/en/latest/ ). Mais oui tout est possible je crois.

Mille pardons pour mon français qui n'est pas très bon.

[Christophe]

Si c'est pour du pentesting, un container me parait pas forcément l'idéal, mais il faudrait plus d'infos sur ce pentesting.

Il te faut monter un datacenter avec création automatique de VM et répartition de charge entre plusieurs serveurs selon les besoins de puissance. (valable aussi bien pour VM que pour conteneur).

Le système orchestrant automatiquement la création/destruction des VM/conteneurs.

Si un conteneur suffit tu seras gagnante, car beaucoup moins gourmand en ressources.

[Sophie17]

Bonjour Sophie17,
Quant à pentest je ne sais pas ce que ça peut être. Mais il faut prévoir les situations de violation de l'intégrité de conteneur par certains pentests. Evidemment, le challenge peut comporter exclusivement des pentests pour les objets subordonnés hiérarchiquement au conteneur, i.e. on ne peut pas faire du pentest sur le syscalls à l'intérieur du conteneur, mais faire du pentest de bash c'est normal.
Les autres exigences supposent une solution individuelle par exemple sur la base de lxd ( https://lxd.readthedocs.io/en/latest/ ). Mais oui tout est possible je crois.

Mille pardons pour mon français qui n'est pas très bon.

Ton Français est très bien ne t'en fait pas et ok je vais regarder cette technique de plus prés car elle m'a l'air super-intéressante, merci

[Sophie17]

Si c'est pour du pentesting, un container me parait pas forcément l'idéal, mais il faudrait plus d'infos sur ce pentesting.

Il te faut monter un datacenter avec création automatique de VM et répartition de charge entre plusieurs serveurs selon les besoins de puissance. (valable aussi bien pour VM que pour conteneur).

Le système orchestrant automatiquement la création/destruction des VM/conteneurs.

Si un conteneur suffit tu seras gagnante, car beaucoup moins gourmand en ressources.

Bonjour chrtophe,

Tiens il ne manque pas un 'i' et un 's' dans votre "pseudo - prénom" ?

Alors le "pentest" c'est une VM vulnérable avec des difficultés variables à laquelle on doit retrouver les flags afin de pouvoir valider le challenge, un peu comme certains sites connus mais je sais pas si on le droit de citer les noms...

Du coup quel type de technologie vous me conseillerais de mettre en place ? Sachant que les VM ne doivent pas être téléchargeable, ce sont en quelque sorte des VM privé mais à disposition des clients.

[Christophe]

Quel sera le type d'attaque ?

[Sophie17]

Principalement réseaux.

Je viens d'y penser mais ça devrait générer deux VM, une pour l'offensive et une seconde pour la machine vulnérable.

Un exemple:

Un client se connecte est arrive sur sa VM 'online' sous Kali-Linux dans un réseau fermé et devra faire un Nmap pour trouver l'IP de la machine vulnérable, une fois fais il verra que cette machine fait tourner WordPress avec une veille version et il devras trouver les CVE adapté etc., en même temps durant le parcours de son attaque il devras récupéré les flags pour valider le challenge.

Que me conseillez-vous ?