Wiki d'activités IMA - Contributions de l’utilisateur [fr]

TP sysres SE2a5 2022/2023 G1

2022-11-30T22:52:25Z

Amace : /* Plan d’adressage */

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

[[Fichier:Global scheme PRA 2020.png]]

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

Vérification

[[Fichier:RAID5_detestable.png]]

== Serveur DNS ==
===DNS===
Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 193.48.57.48</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
193.48.57.0/24;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

===DNSSEC===

* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;</pre>
* Création du répertoire <code>detestable.site.dnssec</code> :

<pre>mkdir /etc/bind/detestable.site.dnssec/
cd /etc/bind/detestable.site.dnssec/</pre>
* Génération de la clef asymétrique de signature de clefs de zone :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-ksk.key
mv Kdetestable.site.*.private detestable.site-ksk.private</pre>
* Génération de la clef asymétrique de signature des enregistrements :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-zsk.key
mv Kdetestable.site.*.private detestable.site-zsk.private</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>$include "/etc/bind/detestable.site.dnssec/detestable.site-ksk.key"
$include "/etc/bind/detestable.site.dnssec/detestable.site-zsk.key"</pre>
* Signature des enregistrements de la zone :

<pre>dnssec-signzone -o detestable.site -k detestable.site-ksk ../db.detestable.site detestable.site-zsk</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "demineur.site" {
type master;
file "/etc/bind/db.detestable.site.signed";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier <code>detestable.site-ksk.key</code>) à Gandi. 
L’algorithme utilisé est le 8 (RSA/SHA-256).

=== Tester DNSSEC : ===

<pre>cd /etc/bind/
dnssec-verify -o detestable.site db.detestable.site.signed</pre>
<pre>service bind9 restart</pre>

=== Vérifier son DNS avec dnsviz.net ===
[[Fichier:dnsviz_detestable.png]]

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-30T22:52:06Z

Amace : /* Plan d’adressage */

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

[[Média:Global scheme PRA 2020.png]]

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

Vérification

[[Fichier:RAID5_detestable.png]]

== Serveur DNS ==
===DNS===
Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 193.48.57.48</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
193.48.57.0/24;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

===DNSSEC===

* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;</pre>
* Création du répertoire <code>detestable.site.dnssec</code> :

<pre>mkdir /etc/bind/detestable.site.dnssec/
cd /etc/bind/detestable.site.dnssec/</pre>
* Génération de la clef asymétrique de signature de clefs de zone :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-ksk.key
mv Kdetestable.site.*.private detestable.site-ksk.private</pre>
* Génération de la clef asymétrique de signature des enregistrements :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-zsk.key
mv Kdetestable.site.*.private detestable.site-zsk.private</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>$include "/etc/bind/detestable.site.dnssec/detestable.site-ksk.key"
$include "/etc/bind/detestable.site.dnssec/detestable.site-zsk.key"</pre>
* Signature des enregistrements de la zone :

<pre>dnssec-signzone -o detestable.site -k detestable.site-ksk ../db.detestable.site detestable.site-zsk</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "demineur.site" {
type master;
file "/etc/bind/db.detestable.site.signed";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier <code>detestable.site-ksk.key</code>) à Gandi. 
L’algorithme utilisé est le 8 (RSA/SHA-256).

=== Tester DNSSEC : ===

<pre>cd /etc/bind/
dnssec-verify -o detestable.site db.detestable.site.signed</pre>
<pre>service bind9 restart</pre>

=== Vérifier son DNS avec dnsviz.net ===
[[Fichier:dnsviz_detestable.png]]

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-30T22:51:31Z

Amace : /* Cahier de suivi - Groupe 1 */

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

Vérification

[[Fichier:RAID5_detestable.png]]

== Serveur DNS ==
===DNS===
Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 193.48.57.48</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
193.48.57.0/24;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

===DNSSEC===

* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;</pre>
* Création du répertoire <code>detestable.site.dnssec</code> :

<pre>mkdir /etc/bind/detestable.site.dnssec/
cd /etc/bind/detestable.site.dnssec/</pre>
* Génération de la clef asymétrique de signature de clefs de zone :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-ksk.key
mv Kdetestable.site.*.private detestable.site-ksk.private</pre>
* Génération de la clef asymétrique de signature des enregistrements :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-zsk.key
mv Kdetestable.site.*.private detestable.site-zsk.private</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>$include "/etc/bind/detestable.site.dnssec/detestable.site-ksk.key"
$include "/etc/bind/detestable.site.dnssec/detestable.site-zsk.key"</pre>
* Signature des enregistrements de la zone :

<pre>dnssec-signzone -o detestable.site -k detestable.site-ksk ../db.detestable.site detestable.site-zsk</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "demineur.site" {
type master;
file "/etc/bind/db.detestable.site.signed";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier <code>detestable.site-ksk.key</code>) à Gandi. 
L’algorithme utilisé est le 8 (RSA/SHA-256).

=== Tester DNSSEC : ===

<pre>cd /etc/bind/
dnssec-verify -o detestable.site db.detestable.site.signed</pre>
<pre>service bind9 restart</pre>

=== Vérifier son DNS avec dnsviz.net ===
[[Fichier:dnsviz_detestable.png]]

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-29T00:06:45Z

Amace : /* Vérifier son DNS avec dnsviz */

== Cahier de suivi - Groupe 1 ==
= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

Vérification

[[Fichier:RAID5_detestable.png]]

== Serveur DNS ==
===DNS===
Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 193.48.57.48</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
193.48.57.0/24;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

===DNSSEC===

* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;</pre>
* Création du répertoire <code>detestable.site.dnssec</code> :

<pre>mkdir /etc/bind/detestable.site.dnssec/
cd /etc/bind/detestable.site.dnssec/</pre>
* Génération de la clef asymétrique de signature de clefs de zone :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-ksk.key
mv Kdetestable.site.*.private detestable.site-ksk.private</pre>
* Génération de la clef asymétrique de signature des enregistrements :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-zsk.key
mv Kdetestable.site.*.private detestable.site-zsk.private</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>$include "/etc/bind/detestable.site.dnssec/detestable.site-ksk.key"
$include "/etc/bind/detestable.site.dnssec/detestable.site-zsk.key"</pre>
* Signature des enregistrements de la zone :

<pre>dnssec-signzone -o detestable.site -k detestable.site-ksk ../db.detestable.site detestable.site-zsk</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "demineur.site" {
type master;
file "/etc/bind/db.detestable.site.signed";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier <code>detestable.site-ksk.key</code>) à Gandi. 
L’algorithme utilisé est le 8 (RSA/SHA-256).

=== Tester DNSSEC : ===

<pre>cd /etc/bind/
dnssec-verify -o detestable.site db.detestable.site.signed</pre>
<pre>service bind9 restart</pre>

=== Vérifier son DNS avec dnsviz.net ===
[[Fichier:dnsviz_detestable.png]]

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-29T00:05:46Z

Amace : /* Sommaire */

== Cahier de suivi - Groupe 1 ==
= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

Vérification

[[Fichier:RAID5_detestable.png]]

== Serveur DNS ==
===DNS===
Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 193.48.57.48</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
193.48.57.0/24;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

===DNSSEC===

* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;</pre>
* Création du répertoire <code>detestable.site.dnssec</code> :

<pre>mkdir /etc/bind/detestable.site.dnssec/
cd /etc/bind/detestable.site.dnssec/</pre>
* Génération de la clef asymétrique de signature de clefs de zone :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-ksk.key
mv Kdetestable.site.*.private detestable.site-ksk.private</pre>
* Génération de la clef asymétrique de signature des enregistrements :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-zsk.key
mv Kdetestable.site.*.private detestable.site-zsk.private</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>$include "/etc/bind/detestable.site.dnssec/detestable.site-ksk.key"
$include "/etc/bind/detestable.site.dnssec/detestable.site-zsk.key"</pre>
* Signature des enregistrements de la zone :

<pre>dnssec-signzone -o detestable.site -k detestable.site-ksk ../db.detestable.site detestable.site-zsk</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "demineur.site" {
type master;
file "/etc/bind/db.detestable.site.signed";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier <code>detestable.site-ksk.key</code>) à Gandi. 
L’algorithme utilisé est le 8 (RSA/SHA-256).

=== Tester DNSSEC : ===

<pre>cd /etc/bind/
dnssec-verify -o detestable.site db.detestable.site.signed</pre>
<pre>service bind9 restart</pre>

=== Vérifier son DNS avec dnsviz ===
[[Fichier:dnsviz_detestable.png]]

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-29T00:05:26Z

Amace : /* Sécurisation des données - RAID5 */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

Vérification

[[Fichier:RAID5_detestable.png]]

== Serveur DNS ==
===DNS===
Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 193.48.57.48</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
193.48.57.0/24;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

===DNSSEC===

* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;</pre>
* Création du répertoire <code>detestable.site.dnssec</code> :

<pre>mkdir /etc/bind/detestable.site.dnssec/
cd /etc/bind/detestable.site.dnssec/</pre>
* Génération de la clef asymétrique de signature de clefs de zone :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-ksk.key
mv Kdetestable.site.*.private detestable.site-ksk.private</pre>
* Génération de la clef asymétrique de signature des enregistrements :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-zsk.key
mv Kdetestable.site.*.private detestable.site-zsk.private</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>$include "/etc/bind/detestable.site.dnssec/detestable.site-ksk.key"
$include "/etc/bind/detestable.site.dnssec/detestable.site-zsk.key"</pre>
* Signature des enregistrements de la zone :

<pre>dnssec-signzone -o detestable.site -k detestable.site-ksk ../db.detestable.site detestable.site-zsk</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "demineur.site" {
type master;
file "/etc/bind/db.detestable.site.signed";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier <code>detestable.site-ksk.key</code>) à Gandi. 
L’algorithme utilisé est le 8 (RSA/SHA-256).

=== Tester DNSSEC : ===

<pre>cd /etc/bind/
dnssec-verify -o detestable.site db.detestable.site.signed</pre>
<pre>service bind9 restart</pre>

=== Vérifier son DNS avec dnsviz ===
[[Fichier:dnsviz_detestable.png]]

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-29T00:05:18Z

Amace : /* Sécurisation des données - RAID5 */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

Vérification
[[Fichier:RAID5_detestable.png]]

== Serveur DNS ==
===DNS===
Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 193.48.57.48</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
193.48.57.0/24;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

===DNSSEC===

* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;</pre>
* Création du répertoire <code>detestable.site.dnssec</code> :

<pre>mkdir /etc/bind/detestable.site.dnssec/
cd /etc/bind/detestable.site.dnssec/</pre>
* Génération de la clef asymétrique de signature de clefs de zone :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-ksk.key
mv Kdetestable.site.*.private detestable.site-ksk.private</pre>
* Génération de la clef asymétrique de signature des enregistrements :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-zsk.key
mv Kdetestable.site.*.private detestable.site-zsk.private</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>$include "/etc/bind/detestable.site.dnssec/detestable.site-ksk.key"
$include "/etc/bind/detestable.site.dnssec/detestable.site-zsk.key"</pre>
* Signature des enregistrements de la zone :

<pre>dnssec-signzone -o detestable.site -k detestable.site-ksk ../db.detestable.site detestable.site-zsk</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "demineur.site" {
type master;
file "/etc/bind/db.detestable.site.signed";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier <code>detestable.site-ksk.key</code>) à Gandi. 
L’algorithme utilisé est le 8 (RSA/SHA-256).

=== Tester DNSSEC : ===

<pre>cd /etc/bind/
dnssec-verify -o detestable.site db.detestable.site.signed</pre>
<pre>service bind9 restart</pre>

=== Vérifier son DNS avec dnsviz ===
[[Fichier:dnsviz_detestable.png]]

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-29T00:05:05Z

Amace : /* Sécurisation des données - RAID5 */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

Verification
[[Fichier:RAID5_detestable.png]]

== Serveur DNS ==
===DNS===
Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 193.48.57.48</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
193.48.57.0/24;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

===DNSSEC===

* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;</pre>
* Création du répertoire <code>detestable.site.dnssec</code> :

<pre>mkdir /etc/bind/detestable.site.dnssec/
cd /etc/bind/detestable.site.dnssec/</pre>
* Génération de la clef asymétrique de signature de clefs de zone :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-ksk.key
mv Kdetestable.site.*.private detestable.site-ksk.private</pre>
* Génération de la clef asymétrique de signature des enregistrements :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-zsk.key
mv Kdetestable.site.*.private detestable.site-zsk.private</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>$include "/etc/bind/detestable.site.dnssec/detestable.site-ksk.key"
$include "/etc/bind/detestable.site.dnssec/detestable.site-zsk.key"</pre>
* Signature des enregistrements de la zone :

<pre>dnssec-signzone -o detestable.site -k detestable.site-ksk ../db.detestable.site detestable.site-zsk</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "demineur.site" {
type master;
file "/etc/bind/db.detestable.site.signed";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier <code>detestable.site-ksk.key</code>) à Gandi. 
L’algorithme utilisé est le 8 (RSA/SHA-256).

=== Tester DNSSEC : ===

<pre>cd /etc/bind/
dnssec-verify -o detestable.site db.detestable.site.signed</pre>
<pre>service bind9 restart</pre>

=== Vérifier son DNS avec dnsviz ===
[[Fichier:dnsviz_detestable.png]]

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

Fichier:RAID5 detestable.png

2022-11-29T00:03:54Z

Amace :

Fichier:RAID5.png

2022-11-29T00:03:19Z

Amace : Amace a téléversé une nouvelle version de Fichier:RAID5.png

TP sysres SE2a5 2022/2023 G1

2022-11-29T00:02:15Z

Amace : /* Sécurisation des données - RAID5 */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5_detestable.png]]

== Serveur DNS ==
===DNS===
Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 193.48.57.48</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
193.48.57.0/24;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

===DNSSEC===

* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;</pre>
* Création du répertoire <code>detestable.site.dnssec</code> :

<pre>mkdir /etc/bind/detestable.site.dnssec/
cd /etc/bind/detestable.site.dnssec/</pre>
* Génération de la clef asymétrique de signature de clefs de zone :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-ksk.key
mv Kdetestable.site.*.private detestable.site-ksk.private</pre>
* Génération de la clef asymétrique de signature des enregistrements :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-zsk.key
mv Kdetestable.site.*.private detestable.site-zsk.private</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>$include "/etc/bind/detestable.site.dnssec/detestable.site-ksk.key"
$include "/etc/bind/detestable.site.dnssec/detestable.site-zsk.key"</pre>
* Signature des enregistrements de la zone :

<pre>dnssec-signzone -o detestable.site -k detestable.site-ksk ../db.detestable.site detestable.site-zsk</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "demineur.site" {
type master;
file "/etc/bind/db.detestable.site.signed";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier <code>detestable.site-ksk.key</code>) à Gandi. 
L’algorithme utilisé est le 8 (RSA/SHA-256).

=== Tester DNSSEC : ===

<pre>cd /etc/bind/
dnssec-verify -o detestable.site db.detestable.site.signed</pre>
<pre>service bind9 restart</pre>

=== Vérifier son DNS avec dnsviz ===
[[Fichier:dnsviz_detestable.png]]

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-29T00:01:09Z

Amace : /* Vérifier son DNS avec dnsviz */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
== Serveur DNS ==
===DNS===
Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 193.48.57.48</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
193.48.57.0/24;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

===DNSSEC===

* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;</pre>
* Création du répertoire <code>detestable.site.dnssec</code> :

<pre>mkdir /etc/bind/detestable.site.dnssec/
cd /etc/bind/detestable.site.dnssec/</pre>
* Génération de la clef asymétrique de signature de clefs de zone :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-ksk.key
mv Kdetestable.site.*.private detestable.site-ksk.private</pre>
* Génération de la clef asymétrique de signature des enregistrements :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-zsk.key
mv Kdetestable.site.*.private detestable.site-zsk.private</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>$include "/etc/bind/detestable.site.dnssec/detestable.site-ksk.key"
$include "/etc/bind/detestable.site.dnssec/detestable.site-zsk.key"</pre>
* Signature des enregistrements de la zone :

<pre>dnssec-signzone -o detestable.site -k detestable.site-ksk ../db.detestable.site detestable.site-zsk</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "demineur.site" {
type master;
file "/etc/bind/db.detestable.site.signed";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier <code>detestable.site-ksk.key</code>) à Gandi. 
L’algorithme utilisé est le 8 (RSA/SHA-256).

=== Tester DNSSEC : ===

<pre>cd /etc/bind/
dnssec-verify -o detestable.site db.detestable.site.signed</pre>
<pre>service bind9 restart</pre>

=== Vérifier son DNS avec dnsviz ===
[[Fichier:dnsviz_detestable.png]]

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

Fichier:Dnsviz detestable.png

2022-11-29T00:00:38Z

Amace :

TP sysres SE2a5 2022/2023 G1

2022-11-29T00:00:02Z

Amace : /* Vérification : */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
== Serveur DNS ==
===DNS===
Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 193.48.57.48</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
193.48.57.0/24;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

===DNSSEC===

* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;</pre>
* Création du répertoire <code>detestable.site.dnssec</code> :

<pre>mkdir /etc/bind/detestable.site.dnssec/
cd /etc/bind/detestable.site.dnssec/</pre>
* Génération de la clef asymétrique de signature de clefs de zone :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-ksk.key
mv Kdetestable.site.*.private detestable.site-ksk.private</pre>
* Génération de la clef asymétrique de signature des enregistrements :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-zsk.key
mv Kdetestable.site.*.private detestable.site-zsk.private</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>$include "/etc/bind/detestable.site.dnssec/detestable.site-ksk.key"
$include "/etc/bind/detestable.site.dnssec/detestable.site-zsk.key"</pre>
* Signature des enregistrements de la zone :

<pre>dnssec-signzone -o detestable.site -k detestable.site-ksk ../db.detestable.site detestable.site-zsk</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "demineur.site" {
type master;
file "/etc/bind/db.detestable.site.signed";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier <code>detestable.site-ksk.key</code>) à Gandi. 
L’algorithme utilisé est le 8 (RSA/SHA-256).

=== Tester DNSSEC : ===

<pre>cd /etc/bind/
dnssec-verify -o detestable.site db.detestable.site.signed</pre>
<pre>service bind9 restart</pre>

=== Vérifier son DNS avec dnsviz ===
[[Fichier:dnsviz_detestable.jpg]]

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:59:35Z

Amace : /* Serveur DNS */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
== Serveur DNS ==
===DNS===
Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 193.48.57.48</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
193.48.57.0/24;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

===DNSSEC===

* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;</pre>
* Création du répertoire <code>detestable.site.dnssec</code> :

<pre>mkdir /etc/bind/detestable.site.dnssec/
cd /etc/bind/detestable.site.dnssec/</pre>
* Génération de la clef asymétrique de signature de clefs de zone :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-ksk.key
mv Kdetestable.site.*.private detestable.site-ksk.private</pre>
* Génération de la clef asymétrique de signature des enregistrements :

<pre>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE detestable.site</pre>
<pre>mv Kdetestable.site.*.key detestable.site-zsk.key
mv Kdetestable.site.*.private detestable.site-zsk.private</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>$include "/etc/bind/detestable.site.dnssec/detestable.site-ksk.key"
$include "/etc/bind/detestable.site.dnssec/detestable.site-zsk.key"</pre>
* Signature des enregistrements de la zone :

<pre>dnssec-signzone -o detestable.site -k detestable.site-ksk ../db.detestable.site detestable.site-zsk</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "demineur.site" {
type master;
file "/etc/bind/db.detestable.site.signed";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
Il ne reste plus qu’à communiquer la partie publique de la KSK (présente dans le fichier <code>detestable.site-ksk.key</code>) à Gandi. 
L’algorithme utilisé est le 8 (RSA/SHA-256).

=== Vérification : ===

<pre>cd /etc/bind/
dnssec-verify -o detestable.site db.detestable.site.signed</pre>
<pre>service bind9 restart</pre>

=== Vérifier son DNS avec dnsviz ===
[[Fichier:dnsviz_detestable.jpg]]

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:48:55Z

Amace : /* Serveur DNS */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 193.48.57.48</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:42:58Z

Amace : /* Configuration du serveur RADIUS */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]

Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:42:41Z

Amace : /* Configuration du serveur RADIUS */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom

[[Fichier:connexion_minicom.png]]
Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:42:27Z

Amace : /* Configuration du serveur RADIUS */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom
[[Fichier:connexion_minicom.png]]
Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

Fichier:Connexion minicom.png

2022-11-28T23:41:55Z

Amace :

Fichier:Freeradius X.png

2022-11-28T23:41:29Z

Amace :

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:40:55Z

Amace : /* Configuration du serveur RADIUS */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
[[Fichier:freeradius_X.png]]

On peut également voir la connexion de l'appareil sur minicom
[[Fichier:connexion_minicom.png]]
Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:37:36Z

Amace : /* Point d'accès wifi */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

=Connexion wifi=
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Configuration du serveur RADIUS ==

Le serveur RADIUS permet l’authentification des utilisateurs qui se connectent aux points d’accès Wifi (WPA-EAP).

* Installer le paquet <code>freeradius</code> :

<pre>apt install freeradius</pre>
* Modifier le fichier <code>/etc/freeradius/clients.conf</code> :

<pre>client SE2A51 {
ipaddr = 10.0.0.10
secret = glopglop
}
}</pre>

* Ajouter un utilisateur en modifiant le fichier <code>/etc/freeradius/3.0/users</code> :

<pre>pifou Cleartext-Password := "pasglop"</pre>
* Modifier le fichier <code>/etc/freeradius/3.0/mods-enables/eap</code> :

<pre>eap {
default_eap_type = peap
...
}</pre>
* Arrêter le service <code>freeradius</code> durant la phase de tests :

<pre>service freeradius stop</pre>
* Démarrer <code>freeradius</code> en mode debug :

<pre>freeradius -X</pre>
Pendant que <code>freeradius</code> est en mode debug, tenter de se connecter au réseau Wifi qui a été créé et vérifier que celle-ci est prise en compte. 
Si la connexion est validée alors la configuration est correcte. Dans ce cas, arrêter le programme de debug et réactiver le service.

* Redémarrer le service <code>freeradius</code> :

<pre>service freeradius start</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:32:35Z

Amace : /* Machine Virtuelle */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

=Point d'accès wifi=
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:32:08Z

Amace : /* Point d'accès wifi */

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:31:38Z

Amace : /* Point d'accès wifi */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
===Point d'accès wifi===
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:30:02Z

Amace : /* Point d'accès wifi */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
==Point d'accès wifi==
Paramètres de minicom
Serial Device : /dev/ttyUSB0

Mode terminal
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°20
<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit

Paramètres de minicom
Serial Device : /dev/ttyACM0
VLAN n°1 :
SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:24:52Z

Amace : /* Réseau privé VLAN 20 */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
==Point d'accès wifi==
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°1 :

SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

Réseau privé VLAN 20

Configuration Wifi EAP :

<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit
On considère la commande ci-dessous de la configuration précédente :

== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:24:36Z

Amace : /* Réseau privé VLAN 20 */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
==Point d'accès wifi==
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°1 :

SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

=Réseau privé VLAN 20=

Configuration Wifi EAP :

<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit
On considère la commande ci-dessous de la configuration précédente :

== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:22:58Z

Amace : /* Point d'accès wifi */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
==Point d'accès wifi==
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°1 :

SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

==Réseau privé VLAN 20==

Configuration Wifi EAP :

<SE2A5-AP1(config)#aaa authentication login EAP_toto group RADIUS_toto
SE2A5-AP1(config)#radius-server host 193.48.57.163 auth-port 1812 acct-port 1813 key glopglop
SE2A5-AP1(config)#aaa group server radius RADIUS_toto
SE2A5-AP1(config-server)#server 193.48.57.163 auth-port 1812 acct-port 1813
SE2A5-AP1(config-server)#exit
SE2A5-AP1(config)#dot11 ssid SE2A5_1
SE2A5-AP1(config-ssid)#vlan 20
SE2A5-AP1(config-ssid)#authentication open eap EAP_toto
SE2A5-AP1(config-ssid)#authentication network-eap EAP_toto
SE2A5-AP1(config-ssid)#authentication key-management wpa
SE2A5-AP1(config-ssid)#exit
SE2A5-AP1(config)#interface dot11radio0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface g0.20
SE2A5-AP1(config-subif)#encapsulation dot1q 20
SE2A5-AP1(config-subif)#bridge-group 20
SE2A5-AP1(config-subif)#exit
SE2A5-AP1(config)#interface dot11radio 0
SE2A5-AP2(config-if)#no shutdown
SE2A5-AP1(config-if)#encryption vlan 20 mode ciphers aes-ccm tkip
SE2A5-AP1(config-if)#mbssid
SE2A5-AP1(config-if)#ssid SE2A5_1
SE2A5-AP1(config-if)#exit
On considère la commande ci-dessous de la configuration précédente :

== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:18:48Z

Amace :

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]
* [[#Intrusion|Intrusion]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

==Sécurisation des données - RAID5==

On sécurise nos données à l'aide de RAID5

Installer les paquets nécessaires sur la VM et capbreton :
apt install mdadm

Créer les partitions virtuelles pour le RAID :
lvcreate -L1G -n detestable-raid-1 virtual
lvcreate -L1G -n detestable-raid-2 virtual
lvcreate -L1G -n detestable-raid-3 virtual

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
'phy:/dev/virtual/detestable-raid-1,xvdd1,w',
'phy:/dev/virtual/detestable-raid-2,xvdd2,w',
'phy:/dev/virtual/detestable-raid-3,xvdd3,w'
]
On redémarre la VM :
xen create /etc/xen/HG.cfg -c
Créer le RAID5 à l’aide de la commande mdadm :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdd1 /dev/xvdd2 /dev/xvdd3
Formater la partition RAID5 :
mkfs.ext4 /dev/md0
Ajout de la partition au fichier /etc/fstab :
/dev/md0 /media/raid ext4 defaults 0 1
On recharge les partitions afin de prendre en compte le RAID :
mount -a

[[Fichier:RAID5.png]]
==Point d'accès wifi==
ap>enable
ap#configure terminal

Configuration du nom d’hôte :
<pre>ap(config)#hostname SE2A5-AP1</pre>

Accès SSH :
SE2A5-AP1(config)#aaa new-model
SE2A5-AP1(config)#username admin privilege 15 secret glopglop
SE2A5-AP1(config)#ip domain-name plil.info
SE2A5-AP1(config)#crypto key generate rsa general-keys modulus 2048
SE2A5-AP1(config)#ip ssh version 2
SE2A5-AP1(config)#line vty 0 15
SE2A5-AP1(config-line)#transport input ssh
SE2A5-AP1(config-line)#exit

Accès console :
SE2A5-AP1(config)#line console 0
SE2A5-AP1(config-line)#password glopglop
SE2A5-AP1(config-line)#login authentification default
SE2A5-AP1(config-line)#exit

Sécurisation des accès :
SE2A5-AP1(config)#service password-encryption
SE2A5-AP1(config)#enable secret glopglop
SE2A5-AP1(config)#banner motd #Restricted Access#

VLAN n°1 :

SE2A5-AP1(config)#interface BVI 1
SE2A5-AP1(config-if)#ip address 10.0.0.10 255.255.255.0
SE2A5-AP1(config-if)#no shutdown
SE2A5-AP1(config-if)#exit
SE2A5-AP1(config)#ip default-gateway 10.0.0.1

== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

= Intrusion =

== WEP ==

Pour casser une clé WEP il nous faut le logiciel Aircrack:
apt-get install aircrack-ng

Il faut tout d'abord se mettre sur la bonne interface ethernet:
airmon-ng start wlan0mon

On se met ensuite en écoute sur ce réseau en indiquant le cryptage (WEP)
airodump-ng --encrypt wep wlan0mon

On recupere ensuite l'ESSID et le BSSID correspondant a notre groupe (Groupe 1)

(Ne pas juger la qualité du photographe)
[[Fichier:WEP_Liste.jpg]]

On s'identifie
aireplay-ng -9 -e cracotte01 -a 04:DA:D2:9C:50:50 wlan0mon

Nous recuperons ensuite les VI que l'on stock dans un fichier qui nous permettera de casser la clé :
airodump-ng -c 4 --bssid 04:DA:D2:9C:50:50 -w output wlan0mon

Nous procédons maintenant a la fausse identification:
aireplay-ng -1 0 -e cracotte01 -a 04:DA:D2:9C:50:50 -h 40:A5:EF:01:21:80 wlan0mon

Il ne reste plus qu'a lancer le crack de la clé
aircrack-ng -b 04:DA:D2:9C:50:50 output*.cap

Resultat:

[[Fichier:cléWEP.jpeg]]

== WPA ==

Nous allons utiliser le même logiciel que pour WEP (aircrack)

Pour recuperer la clé WPA, il faut attendre un handshake de krakote01
airodump-ng wlx40a5efd2140c --essid kracotte01 -c 4 -w /tmp/wpa

Une fois le handshake recuperer nous allons generer un dictionvaire de mot de passe (ici une combinaison de 8 chiffres)
crunch 8 8 0123456789 -o password.lst

Il nous reste plus qu'a utiliser aircrack comme ceci
aircrack-ng -w password.lst wpa02.cap

Il faut desormais être patient et attendre 5h40 pour essayer tout le dictionnaire.

Un essaie en subdivisant a été fait mais sans resultat dans le temp imparti

Après 4 heures 1 minutes et 29 seconde nous avons la clé:
66699666

[[Fichier:WPA_crack.png]]

=MINECRAFT=

Nous allons installer un serveur minecraft sur notre VM

Pour cela nous allons avoir besoin de DOCKER
apt-get install docker

Une fois l'installation faite nous devons prendre une image de serveur minecraft:
docker run -d -it -p 25565:25565 -e EULA=TRUE itzg/minecraft-server

Cette image vient du github: https://github.com/itzg/docker-minecraft-server

Nous mettons le port 25565 car c'est le port utilisé par minecraft

Une fois cela fait nous pouvons visualiser les docker activité
docker ps

[[Fichier:docker_minecraft.png]]

==Connexion==

Pour se connecter il suffit d'avoir un minecraft et de renseigner l'IP du serveur

[[Fichier:minecraft_pc.png]]

Le problème avec ce serveur minecraft est sa gourmandise en memoire. En effet, celui-ci plante lorsqu'il y a trop de redstone sur le serveur ou qu'il y a une trop grosse explosion de TNT.

Cela doit être dû (pour la TNT) a un trop gros changement de map et besoin d'affichage qui nécessite trop de mémoire vive.

Pour la redstone, étant donné que nous avons essayé de recréer des portes logique, cela devait trop "consommer"

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:11:45Z

Amace : /* Sécurisation des données - RAID5 */

Fichier:RAID5.png

2022-11-28T23:09:37Z

Amace : Amace a téléversé une nouvelle version de Fichier:RAID5.png

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:07:12Z

Amace :

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:03:01Z

Amace :

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:02:22Z

Amace : /* Sécurisation des données - RAID5 */

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:01:22Z

Amace : /* Sécurisation des données - RAID5 */

TP sysres SE2a5 2022/2023 G1

2022-11-28T23:00:50Z

Amace :

TP sysres SE2a5 2022/2023 G1

2022-11-10T11:53:15Z

Amace : /* Serveur DNS */

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:660:4401:60a0:216:3eff:fe82:3e78
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

TP sysres SE2a5 2022/2023 G1

2022-11-10T11:51:59Z

Amace :

== Cahier de suivi - Groupe 1 ==
= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>detestable.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.163</code> afin d’associer le nom de domaine <code>detestable.site</code> à l’adresse IP <code>193.48.57.163</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.detestable.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.detestable.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "detestable.site" {
type master;
file "/etc/bind/db.detestable.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>detestable.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.detestable.site</pre>
* Modification du fichier <code>/etc/bind/db.detestable.site</code> :

<pre>;
; BIND data file for detestable.site
;
$TTL 604800
@ IN SOA ns.detestable.site. root.detestable.site. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.detestable.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.163
NS IN A 193.48.57.163
NS IN AAAA 2001:7A8:116E:60A4::1
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.163</pre>
* Vérification de la traduction du nom de domaine <code>detestable.site</code> :

<pre>nslookup detestable.site</pre>

TP sysres SE2a5 2022/2023 G1

2022-11-10T10:53:49Z

Amace : /* Serveur DNS */

TP sysres SE2a5 2022/2023 G1

2022-11-10T10:53:27Z

Amace : /* Cahier de suivi - Groupe 1 */

== Cahier de suivi - Groupe 1 ==
== Serveur DNS ==

Dans un premier temps, on utilise le registrar [[gandi.net|Gandi]] afin de réserver le nom de domaine <code>demineur.site</code>. 
Une fois le nom de domaine réservé, il est alors possible de configurer les serveurs de noms et les Glue Records : 
→ Ajouter le Glue Record vers <code>193.48.57.164</code> afin d’associer le nom de domaine <code>demineur.site</code> à l’adresse IP <code>193.48.57.164</code> 
→ Modifier les serveurs de noms pour utiliser <code>ns.demineur.site</code> et <code>ns6.gandi.net</code> 
En attendant que les serveurs de noms soient correctement modifiés, il est possible de changer les enregistrements DNS : 
→ Modifier l’enrgistrement DNS <code>@</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Ajouter l’enrgistrement DNS <code>ns</code>-<code>A</code> avec la valeur <code>193.48.57.193</code> 
→ Modifier l’enrgistrement DNS <code>www</code>-<code>CNAME</code> avec la valeur <code>ns.demineur.site.</code>

* Installation du paquet <code>bind9</code>

<pre>apt install bind9</pre>
* Modification du fichier <code>/etc/resolv.conf</code> :

<pre>nameserver 127.0.0.1</pre>
* Modification du fichier <code>/etc/bind/named.conf.local</code> :

<pre>zone "demineur.site" {
type master;
file "/etc/bind/db.demineur.site";
allow-transfer { 217.70.177.40; }; // ns6.gandi.net
};</pre>
* Modification du fichier <code>/etc/bind/named.conf.options</code> :

<pre>options{
directory "/var/cache/bind";
forwarders {
8.8.8.8;
4.4.2.2;
};
dnssec-validation auto;
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};
acl "allowed_to_transfer" {
217.70.177.40/32;
};</pre>
* Créer le fichier BIND pour <code>demineur.site</code> :

<pre>cp /etc/bind/db.local /etc/bind/db.demineur.site</pre>
* Modification du fichier <code>/etc/bind/db.demineur.site</code> :

<pre>;
; BIND data file for demineur.site
;
$TTL 604800
@ IN SOA ns.demineur.site. root.demineur.site. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.demineur.site.
@ IN NS ns6.gandi.net.
@ IN A 193.48.57.164
NS IN A 193.48.57.164
NS IN AAAA 2001:7A8:116E:60A4::1
WWW IN CNAME NS
SSH IN CNAME NS</pre>
* Redémarrage du service <code>bind9</code> :

<pre>service bind9 restart</pre>
=== Tester DNS : ===

* Modification du fichier <code>/etc/resolv.conf</code>

<pre>nameserver 193.48.57.164</pre>
* Vérification de la traduction du nom de domaine <code>demineur.site</code> :

<pre>nslookup demineur.site</pre>

= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]
* [[#machine-virtuelle|Machine Virtuelle]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
# Disk device(s).
#
root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvdb1,w',
'phy:/dev/storage/HG-var,xvdc1,w',
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

TP sysres SE2a5 2022/2023 G1

2022-11-10T10:50:34Z

Amace : /* Sommaire */

TP sysres SE2a5 2022/2023 G1

2022-11-10T10:49:54Z

Amace : /* Création de la VM */

== Cahier de suivi - Groupe 1 ==

= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]

= Plan d’adressage =

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

= Machine Virtuelle =

== Création de la VM ==

Pour créer la VM nous avons besoin de nous connecter sur Capbreton qui est le serveur qui va "heberger" notre VM xen
ssh root@capbreton.plil.info

On crée ensuite notre vm avec :
xen-create-image --hostname=HG --gateway=193.48.57.175 --ip=193.48.57.163 --netmask=255.255.255.240 --dir=/usr/local/xen --password=glopglopglop --dist=bullseye

Pour acceder à la console de notre vm il faut modifier le fichier de configuration de notre VM (/etc/xen/HG.cfg) en y rajoutant :
vif=['mac=00:16:3E:82:3E:78,bridge=IMA2a5' ]

On crée 2 LVM permettant par la suite d'y rattacher notre /home et notre /var :
lvcreate -L10G -n HG-home storage
lvcreate -L10G -n HG-var storage

Dans /etc/xen/HG.cfg :
disk = [
'file:/usr/local/xen/domains/HG/disk.img,xvda2,w',
'file:/usr/local/xen/domains/HG/swap.img,xvda1,w',
'phy:/dev/storage/HG-home,xvda3,w',
'phy:/dev/storage/HG-var,xvda4,w'
]

Pour demarrer notre VM nous utilisons :
xen create /etc/xen/HG.cfg -c

Le -c sert a se connecter directement

Une fois sur la console de la machine, on modifie /etc/fstab, qui gère le mount des partitions au démarrage. On y rajoute les deux entrées suivantes:
/dev/xvda3 /home ext4 defaults 0 2
/dev/xvda4 /var ext4 defaults 0 2

On modifie également les partitions /dev/xvda3 et /dev/xvda4 en y ajoutant des filesystems de type ext4:
mkfs.ext4 /dev/xdva3

TP sysres SE2a5 2022/2023 G1

2022-11-10T10:42:12Z

Amace : /* Sommaire */

TP sysres SE2a5 2022/2023 G1

2022-11-10T10:41:14Z

Amace : /* Cahier de suivi - Groupe 1 */

== Cahier de suivi - Groupe 1 ==

= Sommaire =

* [[#plan-dadressage|Plan d’adressage]]

{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

TP sysres SE2a5 2022/2023 G1

2022-11-10T10:32:57Z

Amace : /* Cahier de suivi - Groupe 1 */

== Cahier de suivi - Groupe 1 ==
{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM !! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine !
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

TP sysres SE2a5 2022/2023 G1

2022-11-10T10:32:33Z

Amace : /* Cahier de suivi - Groupe 1 */

== Cahier de suivi - Groupe 1 ==
{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM ! @IPv4 MV non routée !! @IPv4 MV routée !! Nom de domaine
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

TP sysres SE2a5 2022/2023 G1

2022-11-10T10:30:13Z

Amace : /* Cahier de suivi - Groupe 1 */

== Cahier de suivi - Groupe 1 ==
{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM ! @IPv4 MV routée !! Nom de domaine
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}

TP sysres SE2a5 2022/2023 G1

2022-11-10T10:29:52Z

Amace : /* Cahier de suivi - Groupe 1 */

== Cahier de suivi - Groupe 1 ==
{| class="wikitable"
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM
|-
| Antonin / Hugo || 20 || 10.20.0.0/16 || - || 10.20.0.250 || 10.20.0.251 || 10.20.0.252 || 10.20.0.253 || - || HG || 172.26.145.76/24 || 193.48.57.163/28 || detestable.site
|}