Wiki d'activités IMA - Contributions de l’utilisateur [fr]

TP sysres IMA2a5 2019/2020 G2

2019-11-29T15:33:51Z

Lmollet : /* Installation du serveur FreeRadius */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
20191128 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

'''Commandes utiles'''

host -t any ima2a5-mol-ish.site
cat /var/log/daemon.log

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

eeePC '''Silure'''

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

Dans cette partie, il est question de sécuriser des données à l'aide d'un système de virtualisation de stockage, ici RAID5.

L'intérêt est de pouvoir créer une redondance des systèmes de stockage (physique mais aussi virtuelle) afin de prévenir d'une défaillance de l'un d'entre eux.

Ici on choisit le protocole '''RAID5''' ('''R'''edundant '''A'''rray of '''I'''ndependent '''D'''isks) qui a pour particularité d'associer trois disques avec un système de codes de correction (les bits de parité) entre les données.

'''Point important''' : Le RAID5 ne fonctionne que pour une configuration d'au minimum 3 disques.

Il faut d'abord créer trois partitions sur le serveur corduan :

lvcreate -L1G -n ima2a5-rex4ever-disk1 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk2 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk3 virtual

Une fois effectué, on peut s'assurer de leur bonne création avec la ligne suivante :

lvdisplay

Ensuite formate les trois partitions créées.

mke2fs /dev/virtual/ima2a5-rex4ever-disk1 virtual
mke2fs /dev/virtual/ima2a5-rex4ever-disk2 virtual
mke2fs /dev/virtual/ima2a5-rex4ever-disk3 virtual

Maitenant, on va associer nos trois nouveaux disques virtuels à notre machine virtuelle. On va ainsi modifier le fichier de configuration de la VM sur cordouan dans le répertoire '''/etc/xen/ima2a5-mol-ish.cfg'''.
Mais auparavant, on étaint la VM : '''xl shutdown ima2a5-mol-ish'''

disk= [ ......................
'phy:/dev/virtual/ima2a5-rex4ever-disk1,xvdb3,w',
'phy:/dev/virtual/ima2a5-rex4ever-disk2,xvdb4,w',
'phy:/dev/virtual/ima2a5-rex4ever-disk3,xvdb5,w',
]

Puis on la redémarre :

xl create /etc/xen/ima2a5-mol-ish.cfg

On créé à présent le RAID5 avec l'utilitaire mdadm.

mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb3 /dev/xvdb4 /dev/xvdb5

Puis on effectue :

mdadm --monitor --daemonise /dev/md0

Et on formate on format le disque créé :

mkfs.ext4 /dev/md0

On définit notre disque dans la table des fichier système en modifiant le fichier '''/etc/fstab''' en ayant auparavant créé un dossier qui lui sera propre dans '''/media/''', ici '''mkdir /media/raid'''

/dev/md0 /media/raid ext4 defaults 0 1

On peut vérifier le bon montage avec la commande '''df'''

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

'''Commandes utiles :'''

{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Commande
|-
! scope="row" style="width: 40%"|Initialiser une partition à chiffrer
|style="width: 80%"|cryptsetup luksFormat -c aes -h sha256 /dev/sda1
|-
! scope="row" style="width: 40%"|Ouvrir un périphérique crypté
|style="width: 80%"|cryptsetup open --type luks /dev/sda1 <nom du systeme de fichier>
|-
! scope="row" style="width: 40%"|Monter le périphérique
|style="width: 80%"|mount -t ext4 /dev/mapper/<nom du systeme de fichier> /mnt/<nom du point de montage>
|-
! scope="row" style="width: 40%"|Ajouter une clé au conteneur précédent
|style="width: 80%"|cryptsetup luksAddKey /dev/sda1
|-
! scope="row" style="width: 40%"|Visualiser l'état d'un périphérique
|style="width: 80%"|cryptsetup luksDump /dev/sda1
|-
! scope="row" style="width: 40%"|Révoquer un slot
|style="width: 80%"|cryptsetup luksKillSlot /dev/sda1 <numero_de_slot>
|-
|}

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /mnt/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

==== Configuration sur Zabeth11====
Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host 193.48.57.162 auth-port 1812 acct-port 1813 key IMA2a5-mol-ish

6- On defini le server group :

aaa group server radius radius_IMA2a5-mol-ish

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server 193.48.57.162 auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_IMA2a5-mol-ish

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_IMA2a5-mol-ish
vlan 3
authentication open eap eap_ima2a5-mol-ish
authentication network-eap eap_ima2a5-mol-ish
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0
encryption vlan 3 mode ciphers aes-ccm tkip
ssid SSID_IMA2a5-mol-ish

11- Créer une sous-interface :

interface dot11Radio0.3
encapsulation dot1Q 3
bridge-group 3

12- Créer une sous-interface gigabite :

interface gigabite0.3
encapsulation dot1Q 3
bridge-group 3

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0
dot11 ssid SSID_IMA2a5-mol-ish

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid
dot11 ssid SSID_IMA2a5-mol-ish
mbssid guest-mode

exit
exit
write
reload

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.162 </code>

====Installation du serveur FreeRadius====

Effectué sur la machine virtuelle!

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

eishchuk Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = IMA2a5-mol-ish

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-29T15:32:41Z

Lmollet : /* Sécurisation Wifi par WPA2-EAP */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
20191128 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

'''Commandes utiles'''

host -t any ima2a5-mol-ish.site
cat /var/log/daemon.log

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----
MIIDDzCCAfcCAQAwgZoxCzAJBgNVBAYTAkZSMQ0wCwYDVQQIDAROb3JkMQ4wDAYD
VQQHDAVMaWxsZTEXMBUGA1UECgwOUG9seXRlY2ggTGlsbGUxDDAKBgNVBAsMA0lN
QTEcMBoGA1UEAwwTaW1hMmE1LW1vbC1pc2guc2l0ZTEnMCUGCSqGSIb3DQEJARYY
aXNoY2h1a2F0ZXJpbmFAZ21haWwuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A
MIIBCgKCAQEA8gBDYek2H9/vYQUAh8OMq6K0In6BOd4HFTmnN2B5/h5SWU21U1vv
FCn6KV1484KPVP4XxIUBBg7giboXdcUEWuohakbjY4BHdCwOinZLFCDAn96LYIuL
5Ifnwk2+B+10kAHTOgUMjICkWPnhcr/2f1e2DkikYck2gMhEHtPtnzWlOKEMfI0W
IWBqnwjM8xnWlhbG3WlcuLjEi8K4wo8Qn8CGPWtO0qqTItxgGANzKp0+lZv2rdnV
a9wup+LoDI7GGZ8JAMnADGTqV5pD7mpLCf1+lpAnVyunavtb8O69wOQQWileG0J0
E59GqL/sTGR+lgpqmczAyrYhzIAKYkcdVwIDAQABoC8wFQYJKoZIhvcNAQkCMQgM
BkltYTJhNTAWBgkqhkiG9w0BCQcxCQwHcGFzZ2xvcDANBgkqhkiG9w0BAQsFAAOC
AQEAggN6DG6c1Ok+t7xplEikeYZKkyl2N9QxuCx48XCTxrRic7STYYB2Q3Q4j792
6CSg4vAx+4A3HFSUvt4hnr0F5QzIIgT3ajWAIPPCJ0KrRpLGXYK0h8TvF19+5ja1
5tJXrrl1ThT87LYIFkAhtkLai2Ep/Z7ENDquRqSZaf79/wXWPbMUodaSZIaGQoxO
U5sDvLTutdpd83lVWqbJ4Co1DpM3VD2z3ECe3dMZDcuTBCIfAXfVhcKzwsiBiyqJ
C/1lhGN7CC75B6PCYPIspSQKIe5V1J8BhxXycYbh35/O65zofOIwrMZU9rDmb0qA
bvFBGSD9A1TRtylxwMrOyTIHdw==
-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

eeePC '''Silure'''

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

Dans cette partie, il est question de sécuriser des données à l'aide d'un système de virtualisation de stockage, ici RAID5.

L'intérêt est de pouvoir créer une redondance des systèmes de stockage (physique mais aussi virtuelle) afin de prévenir d'une défaillance de l'un d'entre eux.

Ici on choisit le protocole '''RAID5''' ('''R'''edundant '''A'''rray of '''I'''ndependent '''D'''isks) qui a pour particularité d'associer trois disques avec un système de codes de correction (les bits de parité) entre les données.

'''Point important''' : Le RAID5 ne fonctionne que pour une configuration d'au minimum 3 disques.

Il faut d'abord créer trois partitions sur le serveur corduan :

lvcreate -L1G -n ima2a5-rex4ever-disk1 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk2 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk3 virtual

Une fois effectué, on peut s'assurer de leur bonne création avec la ligne suivante :

lvdisplay

Ensuite formate les trois partitions créées.

mke2fs /dev/virtual/ima2a5-rex4ever-disk1 virtual
mke2fs /dev/virtual/ima2a5-rex4ever-disk2 virtual
mke2fs /dev/virtual/ima2a5-rex4ever-disk3 virtual

Maitenant, on va associer nos trois nouveaux disques virtuels à notre machine virtuelle. On va ainsi modifier le fichier de configuration de la VM sur cordouan dans le répertoire '''/etc/xen/ima2a5-mol-ish.cfg'''.
Mais auparavant, on étaint la VM : '''xl shutdown ima2a5-mol-ish'''

disk= [ ......................
'phy:/dev/virtual/ima2a5-rex4ever-disk1,xvdb3,w',
'phy:/dev/virtual/ima2a5-rex4ever-disk2,xvdb4,w',
'phy:/dev/virtual/ima2a5-rex4ever-disk3,xvdb5,w',
]

Puis on la redémarre :

xl create /etc/xen/ima2a5-mol-ish.cfg

On créé à présent le RAID5 avec l'utilitaire mdadm.

mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb3 /dev/xvdb4 /dev/xvdb5

Puis on effectue :

mdadm --monitor --daemonise /dev/md0

Et on formate on format le disque créé :

mkfs.ext4 /dev/md0

On définit notre disque dans la table des fichier système en modifiant le fichier '''/etc/fstab''' en ayant auparavant créé un dossier qui lui sera propre dans '''/media/''', ici '''mkdir /media/raid'''

/dev/md0 /media/raid ext4 defaults 0 1

On peut vérifier le bon montage avec la commande '''df'''

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

'''Commandes utiles :'''

{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Commande
|-
! scope="row" style="width: 40%"|Initialiser une partition à chiffrer
|style="width: 80%"|cryptsetup luksFormat -c aes -h sha256 /dev/sda1
|-
! scope="row" style="width: 40%"|Ouvrir un périphérique crypté
|style="width: 80%"|cryptsetup open --type luks /dev/sda1 <nom du systeme de fichier>
|-
! scope="row" style="width: 40%"|Monter le périphérique
|style="width: 80%"|mount -t ext4 /dev/mapper/<nom du systeme de fichier> /mnt/<nom du point de montage>
|-
! scope="row" style="width: 40%"|Ajouter une clé au conteneur précédent
|style="width: 80%"|cryptsetup luksAddKey /dev/sda1
|-
! scope="row" style="width: 40%"|Visualiser l'état d'un périphérique
|style="width: 80%"|cryptsetup luksDump /dev/sda1
|-
! scope="row" style="width: 40%"|Révoquer un slot
|style="width: 80%"|cryptsetup luksKillSlot /dev/sda1 <numero_de_slot>
|-
|}

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /mnt/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

==== Configuration sur Zabeth11====
Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host 193.48.57.162 auth-port 1812 acct-port 1813 key IMA2a5-mol-ish

6- On defini le server group :

aaa group server radius radius_IMA2a5-mol-ish

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server 193.48.57.162 auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_IMA2a5-mol-ish

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_IMA2a5-mol-ish
vlan 3
authentication open eap eap_ima2a5-mol-ish
authentication network-eap eap_ima2a5-mol-ish
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0
encryption vlan 3 mode ciphers aes-ccm tkip
ssid SSID_IMA2a5-mol-ish

11- Créer une sous-interface :

interface dot11Radio0.3
encapsulation dot1Q 3
bridge-group 3

12- Créer une sous-interface gigabite :

interface gigabite0.3
encapsulation dot1Q 3
bridge-group 3

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0
dot11 ssid SSID_IMA2a5-mol-ish

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid
dot11 ssid SSID_IMA2a5-mol-ish
mbssid guest-mode

exit
exit
write
reload

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.162 </code>

====Installation du serveur FreeRadius====

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-29T15:12:51Z

Lmollet : /* Test d'intrusion */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
20191128 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

'''Commandes utiles'''

host -t any ima2a5-mol-ish.site
cat /var/log/daemon.log

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

eeePC '''Silure'''

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

Dans cette partie, il est question de sécuriser des données à l'aide d'un système de virtualisation de stockage, ici RAID5.

L'intérêt est de pouvoir créer une redondance des systèmes de stockage (physique mais aussi virtuelle) afin de prévenir d'une défaillance de l'un d'entre eux.

Ici on choisit le protocole '''RAID5''' ('''R'''edundant '''A'''rray of '''I'''ndependent '''D'''isks) qui a pour particularité d'associer trois disques avec un système de codes de correction (les bits de parité) entre les données.

'''Point important''' : Le RAID5 ne fonctionne que pour une configuration d'au minimum 3 disques.

Il faut d'abord créer trois partitions sur le serveur corduan :

lvcreate -L1G -n ima2a5-rex4ever-disk1 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk2 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk3 virtual

Une fois effectué, on peut s'assurer de leur bonne création avec la ligne suivante :

lvdisplay

Ensuite formate les trois partitions créées.

mke2fs /dev/virtual/ima2a5-rex4ever-disk1 virtual
mke2fs /dev/virtual/ima2a5-rex4ever-disk2 virtual
mke2fs /dev/virtual/ima2a5-rex4ever-disk3 virtual

Maitenant, on va associer nos trois nouveaux disques virtuels à notre machine virtuelle. On va ainsi modifier le fichier de configuration de la VM sur cordouan dans le répertoire '''/etc/xen/ima2a5-mol-ish.cfg'''.
Mais auparavant, on étaint la VM : '''xl shutdown ima2a5-mol-ish'''

disk= [ ......................
'phy:/dev/virtual/ima2a5-rex4ever-disk1,xvdb3,w',
'phy:/dev/virtual/ima2a5-rex4ever-disk2,xvdb4,w',
'phy:/dev/virtual/ima2a5-rex4ever-disk3,xvdb5,w',
]

Puis on la redémarre :

xl create /etc/xen/ima2a5-mol-ish.cfg

On créé à présent le RAID5 avec l'utilitaire mdadm.

mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb3 /dev/xvdb4 /dev/xvdb5

Puis on effectue :

mdadm --monitor --daemonise /dev/md0

Et on formate on format le disque créé :

mkfs.ext4 /dev/md0

On définit notre disque dans la table des fichier système en modifiant le fichier '''/etc/fstab''' en ayant auparavant créé un dossier qui lui sera propre dans '''/media/''', ici '''mkdir /media/raid'''

/dev/md0 /media/raid ext4 defaults 0 1

On peut vérifier le bon montage avec la commande '''df'''

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

'''Commandes utiles :'''

{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Commande
|-
! scope="row" style="width: 40%"|Initialiser une partition à chiffrer
|style="width: 80%"|cryptsetup luksFormat -c aes -h sha256 /dev/sda1
|-
! scope="row" style="width: 40%"|Ouvrir un périphérique crypté
|style="width: 80%"|cryptsetup open --type luks /dev/sda1 <nom du systeme de fichier>
|-
! scope="row" style="width: 40%"|Monter le périphérique
|style="width: 80%"|mount -t ext4 /dev/mapper/<nom du systeme de fichier> /mnt/<nom du point de montage>
|-
! scope="row" style="width: 40%"|Ajouter une clé au conteneur précédent
|style="width: 80%"|cryptsetup luksAddKey /dev/sda1
|-
! scope="row" style="width: 40%"|Visualiser l'état d'un périphérique
|style="width: 80%"|cryptsetup luksDump /dev/sda1
|-
! scope="row" style="width: 40%"|Révoquer un slot
|style="width: 80%"|cryptsetup luksKillSlot /dev/sda1 <numero_de_slot>
|-
|}

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /mnt/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host 193.48.57.162 auth-port 1812 acct-port 1813 key IMA2a5-mol-ish

6- On defini le server group :

aaa group server radius radius_IMA2a5-mol-ish

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server 193.48.57.162 auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_IMA2a5-mol-ish

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_IMA2a5-mol-ish
vlan 3
authentication open eap eap_ima2a5-mol-ish
authentication network-eap eap_ima2a5-mol-ish
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0
encryption vlan 3 mode ciphers aes-ccm tkip
ssid SSID_IMA2a5-mol-ish

11- Créer une sous-interface :

interface dot11Radio0.3
encapsulation dot1Q 3
bridge-group 3

12- Créer une sous-interface gigabite :

interface gigabite0.3
encapsulation dot1Q 3
bridge-group 3

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0
dot11 ssid SSID_IMA2a5-mol-ish

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid
dot11 ssid SSID_IMA2a5-mol-ish
mbssid guest-mode

exit
exit
write
reload

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit

on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.162 </code>

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP système & reseau IMA2a5 2019/2020

2019-11-29T14:59:00Z

Lmollet : /* Table IP VLANs */

TP sysres IMA2a5 2019/2020 G6

2019-11-29T14:23:53Z

Lmollet : /* Configuration des points d'accès Wi-Fi */

Jorge Cabral & Hamza Fahim

== Introduction ==
Le projet a pour but de mettre en place un réseau sur 2 salles du bâtiment E de polytech constitué de 2 routeurs, 2 commutateurs, 2 bornes Wifi et un serveur.
Chaque groupe dispose de machines virtuelles sur le serveur, qui permettront de constituer chacun un domaine acheté sur GANDI.
Les routeurs et commutateurs seront configurés à l'aide de netbooks configurés par nos soins.

== Installation du réseau : connexion des routeurs, commutateurs, bornes WiFi et du serveur Cordouan ==
[[Fichier:archi_reseau_2.png]]

== Mise en place du serveur ==

=== Préparation et configuration des machines virtuelles ===

==== Création de la machine virtuelle ====
La machine virtuelle est crée sur le serveur Cordouan :
ssh root@cordouan.insecserv.deule.net

Création de la machine virtuelle :
xen-create-image --hostname=ima2a5-4fun --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --force

==== Démarrage/Arrêt/Redémarrage de la machine virtuelle ====
Avant de démarrer la VM, nous devons modifierle fichier /etc/xen/ima2a5-4fun.cfg afin de rajouter le bridge.
Il faut d'abord récuperer le nom du bridge avec la commande:
brctl show
Le du bridge est :IMA2a5
Ensuite nous remplaçons dans le fichier "ima2a5-4fun.cfg" la ligne contenant "vif = [ 'mac=00:16:3E:A8:74:CA']" par :
vif = [ 'mac=00:16:3E:A8:74:CA, bridge=IMA2a5']

Puis,nous pouvons démarrager la machine virtuelle :
xl create /etc/xen/ima2a5-4fun.cfg

et acceder à la VM :
xl console ima2a5-4fun
L'utilisateur étant:
user : root
password: c'est le contenu de ligne commençant par "Root Password" du fichier "/var/log/xen-tools/ima2a5-4fun.log"

Pour changer le password root, utiliser:
passwd

On peut revenir à la machine hôte sans arrêter la MV avec la combinaison
Ctrl + AltGr + ]

Arrêt de la machine virtuelle depuis l'hôte :
xl destroy ima2a5-4fun

==== Adaptation de la machine virtuelle à l'architecture réseau du projet ====
Coordonnées IP statiques de la machine virtuelle sur le fichier /etc/network/interfaces
iface eth0 inet static
address 193.48.57.166
netmask 255.255.255.240
gateway 193.48.57.172

==== Personnalisation des points de montage /var et /home ====

Création de 2 volumes de 10GB sur la machine hôte :
lvcreate -L10G -n ima2a5-4fun-home virtual
lvcreate -L10G -n ima2a5-4fun-var virtual

Formatage des volumes :
mkfs.ext4 /dev/virtual/ima2a5-4fun-home
mkfs.ext4 /dev/virtual/ima2a5-4fun-var

Inclusion des volumes dans la machine virtuelle en modifiant /etc/xen/ima2a5-4fun.cfg :

root = '/dev/xvda2 ro'
disk = [
'file:/usr/local/xen/domains/ima2a5-4fun/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-4fun/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-4fun-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-4fun-var,xvdb2,w'
]

Afin de vérifier si tout est correct on arrête complétement la VM (et non pas rebboter) et on recréé la VM

puis, vérifier sur la machine hôte et la VM si les deux partitions on bien été créées avec la commande:
fdisk -l

Puis, on modifie le fichier /etc/fstable de la VM pour que l'OS les monte automatiquement au démarrage:
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
devpts /dev/pts devpts rw,noexec,nosuid,gid=5,mode=620 0 0
/dev/xvda1 none swap sw 0 0
/dev/xvda2 / xt4 noatime,nodiratime,errors=remount-ro 0 1
/dev/xvdb1 /home ext4 defaults 0 2
/dev/xvdb2 /var ext4 defaults 0 2

==== Installation des serveurs SSH, DNS et https ====

Installation du serveur apache :
apt install apache2

Installation du serveur ssh :
apt install openssh-server

Création du service sshd lancé au démarrage par runit :
mkdir /etc/service
mkdir /etc/service/sshd
touch /etc/service/sshd/run
configuration du fichier etc/service/sshd/run:
#!/bin/sh
ssh-ketgen -A >/dev/null 2>&1
[ -r conf ] && . ./conf
exec /usr/sbin/sshd -D $OPTS

Autorise l'exécution du fichier run
chmod +x /etc/service/sshd/run

== Sécurisation Wifi par WPA2-EAP ==
=== Configuration des points d'accès Wi-Fi===

Dans cette partie, on dispose de deux bornes wifi a configurer, la premiére en E306 et l'autre en E304, en utilisera le server FreeRadius pour l'identification.
Tout d'abord effectuons un purge:
apt purge brltty

Puis:

1- Acceder à la configuration de la borne wifi :

minicom -os

On change la configuration pour: Port = /dev/ttyUSB0, 9600 bauds et sans control de flux

2- Se mettre en mode previligié :

enable
Password = "Cisco"

3- Se mettre en mode configuration :

config term

(On peut aussi verifier la configuration de la borne avec "show run")

NB : Les commandes 5 à 14, sont à faire pour chaque groupe de la promo.

4- Pour utiliser le system en 'authentication, authorization, and accounting', il faut cette commande :

aaa new-model

5- On crée un server radius pour un groupe :

radius-server host ip_groupe6 auth-port 1812 acct-port 1813 key mot_secret // mot_secret : il faut en choisir un . Par exemple (pour notre groupe) "IMA2a5-4fun". Il faut pas l'oublier cra vous en aurez besoin pour la config de radius

6- On defini le server group :

aaa group server radius radius_groupe6 // on remplace groupe6 par le nom de notre groupe "IMA2a5-4fun"

7- Puis, on associe à ce groupe de serveur le serveur créé sur la VM:

server ip_VM_groupe6 auth-port 1812 acct-port 1813

8- Ensuite, on defini le login et le groupe server par lequel l'utilisateur passera pour s'authentifier :

aaa authentication login eap_groupe6 group radius_groupe6 // remplacer groupe6 par le nom de notre groupe

9- On arrive à la création des SSID, protégé par la méthode WPA2-EAP :

dot11 ssid SSID_groupe6 // pour nous, groupe6="IMA2a5_4fun". [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
vlan num_vlan
authentication open eap eap_groupe6
authentication network-eap eap_groupe6
authentication key-management wpa

10- Configurer les vlans des groupes :

interface Dot11Radio0 // on rentre d'abord dans l'interface Dot11Radio0
encryption vlan num_vlan mode ciphers aes-ccm tkip // Où x est le numéro du vlan . Pour notre groupe x=7 [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
ssid SSID_groupe6

Pour pouvoir se connecter au réseau, il faudra relier l'interfaces virtuelle à l'interface gigabites, via des 'bridge-groupe', et comme il y a plusieurs grouoes, il faut créer autant des sous-interfaces dot11radio0 et puis la relier
aux sous-interfaces gigabites.

11- Créer une sous-interface pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface dot11Radio0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

12- Créer une sous-interface gigabite pour chaque groupe, en donnant à l'instance le numéro du vlan :

interface gigabite0.num_vlan // num_vlan a remplacer par le numéro du vlan [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
encapsulation dot1Q num_vlan
bridge-group num_vlan

13- Ajouter les SSID à l'interface Dot11Radio0

interface Dot11Radio0 // se mettre dans la bonne interface (i.e Dot11Radio0)
dot11 ssid SSID_groupe // on remplace "groupe" par le nom du groupe de la promo [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]

14- rendre les SSID visibles :

interface Dot11Radio0
mbssid // Il faut rajouter l'option "mbssid" à l'interface Dot11Radio0
dot11 ssid SSID_groupe6 // pour notre groupe groupe6="IMA2a5_4fun" [https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020#Bornes_Wi-Fi Voir tableau Borne Wifi]
mbssid guest-mode // mettre les ssid en guest-mode pour qu'il soient visibles.

exit
exit
write
reload

15- Attribuer une ip à la borne
enable
conf t
int bvi1
ip address 10.60.0.100 255.255.255.0
exit
exit
SSID_groupe
on peut maintenant pinger le routeur: <code> ping 10.60.0.254 </code>, mais le les VM

16-Il faut donc rajouter le gateway
enable
conf t
ip route 0.0.0.0 0.0.0.0 10.60.0.253
exit

maintenant on peut reussir à pinger les VM: <code> ping 193.48.57.166 </code>

=== Mise en place du serveur FreeRadius ===

Cette partie se fait sur la VM!!!

Installation de freeradius:

apt-get install freeradius

Dans le fichier <code>/etc/freeradius/3.0/users</code> on ajoute la ligne:

jcabrald Cleartext-Password := "glopglop"

Dans le fichier <code>/etc/freeradius/3.0/mods-enabled/eap</code> on modifie la ligne:

eap{
default_eap_type = peap
}

Dans le fichier <code>/etc/freeradius/3.0//mods-enabled/mschap</code> on décommente les lignes suivantes et modifie

use_mppe = yes
require_encryption = yes
require_strong = yes

et on ajoute la ligne suivante:

with_ntdomain_hack = yes

Dans le fichier <code> /etc/freeradius/3.0/clients.conf </code> rajouter le borne comme un client qui se connectera sur le server radius:

client access-point { // nom attribué au client
ipaddr = 10.60.0.100 //adresse ip de la borne
secret = secret_IMA2a5-4fun //mot secret saisi lors de la configuration de la borne
}

Une fois toutes les confirations terminées, nous alons:
-arrêter le server Freeradius
service freeradius stop
-puis le relancer en mode debug afin de visualiser les reqûetes et logs
freeradius -X

===Mise en place serveur DHCP===

Une fois la configuration des bornes et de FreeRadius finie, nous devons rajouter un serveur DHCP sur la borne Wi-Fi. Ainsi, les utilisateur pourront avoir une adresse IP attribuée.

sur le terminal de confiration cisco:
ip dhcp pool groupe6 /goupe6 = "IMA2a5-4fun"
network 10.60.7.0
ns-server celui_de_polytech
ip dhcp pool IMA2a5-4fun excluded-address 10.60.7.252 10.60.7.254

Ca n'a pas marché sur la borne. On le fait donc sur le routeur.

== Crackage de la clé WEP ==

Etape 1: Installation de aircrack-ng

Pour installer aircrack-ng il nous faut etablir la connexion internet par Ethernet dans le eeepc
Ensuite :

apt-get install aircrack-ng

Comme le wifi du pc ne fonctionne pas correctement on utilise un module WI-FI Wi-pi pour le visualiser peripherique on utilise la commande

airmon-ng (pour voir le nom du Wi-pi)
airmon-ng start wlx40a5ef0125eg

[[Fichier:Hf img1.png|700px|center]]

Ensuite il renomme le périphérique en wlan0mon

[[Fichier:HF Img2.png|700px|center]]

On peut ensuite ecouté le réseau avec la commande airodump-ng en spécifiant le canal -c et le module wi-fi utilisé

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a cracotte 6 pour nous c'est 04:DA:D2:9C:50:55

[[Fichier:Wep-image1.png|700px|center]]

Ensuite on capture les packets pour avoir assez IV pour cracker la clé wep cela crée un fichier .cap qu'on utilisera par la suite

airodump-ng -w out -c 8 --bssid 04:DA:D2:9C:50:55 wlan0mon

En parrallèle on lance aircrack pour effectuer des tentatives pour obtenir la clé wep

aircrack-ng out-01.cap

Maintenant il faut attendre d'avoir assez donnée pour casser la clé wep
sachant que avec 25 000 IV on a 50% de chance d'obtenir le mdp
et 50 000 on 90% de chance

[[Fichier:Wep-image2.png|700px|center]]

=== Cassage du WPA2 ===

Dans cette partie, on utilisera la méthode du dictionnaire.

Pour le cassage du WPA on a besoin du handshake pour le recuperer on ecoute le réseau avec la commande airodump-ng

airodump-ng -c 8 wlan0mon

On récupere l'adresse correspondante a Kracotte 6 pour nous c'est 04:DA:D2:9C:50:5D

Ensuite on doit récupérer le handshake pour ça on utilise airodump

airodump-ng -c 2 --bssid 04:DA:D2:9C:50:5D -w -tplink wlan0mon

[[Fichier:Recup handshake wpa 2.png|700px|center]]

Cela nous crée un .cap avec le handshake

Comme la puissance de calcul et petite sur les eeepc on utilise une zabeth

on crée le dictionnaire avec crunch :

crunch 8 8 0123456789 >> psw.txt

ensuite lance aircrack avec la commande suivante :

aircrack-ng -0 -w dictionnaire.txt tplink-01.cap

[[Fichier:Wpa craked.png|700px|center]]

au bout de 45min on trouve la clé wpa.

<VirtualHost *:80>
ServerName ima2a5-4fun.site
ServerAlias www.ima2a5-4fun.site
DocumentRoot "/var/www/ima2a5-4fun"
<Directory "/var/www/ima2a5-4fun">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-4fun.site.log
CustomLog /var/log/apache2/access.ima2a5-4fun.site.com.log combined
</VirtualHost>

[https://wiki-ima.plil.fr/mediawiki//index.php/TP_syst%C3%A8me_%26_reseau_IMA2a5_2019/2020/cmds _]

TP sysres IMA2a5 2019/2020 G2

2019-11-29T14:06:38Z

Lmollet : /* Sécurisation de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
20191128 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

'''Commandes utiles'''

host -t any ima2a5-mol-ish.site
cat /var/log/daemon.log

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----
MIIDDzCCAfcCAQAwgZoxCzAJBgNVBAYTAkZSMQ0wCwYDVQQIDAROb3JkMQ4wDAYD
VQQHDAVMaWxsZTEXMBUGA1UECgwOUG9seXRlY2ggTGlsbGUxDDAKBgNVBAsMA0lN
QTEcMBoGA1UEAwwTaW1hMmE1LW1vbC1pc2guc2l0ZTEnMCUGCSqGSIb3DQEJARYY
aXNoY2h1a2F0ZXJpbmFAZ21haWwuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A
MIIBCgKCAQEA8gBDYek2H9/vYQUAh8OMq6K0In6BOd4HFTmnN2B5/h5SWU21U1vv
FCn6KV1484KPVP4XxIUBBg7giboXdcUEWuohakbjY4BHdCwOinZLFCDAn96LYIuL
5Ifnwk2+B+10kAHTOgUMjICkWPnhcr/2f1e2DkikYck2gMhEHtPtnzWlOKEMfI0W
IWBqnwjM8xnWlhbG3WlcuLjEi8K4wo8Qn8CGPWtO0qqTItxgGANzKp0+lZv2rdnV
a9wup+LoDI7GGZ8JAMnADGTqV5pD7mpLCf1+lpAnVyunavtb8O69wOQQWileG0J0
E59GqL/sTGR+lgpqmczAyrYhzIAKYkcdVwIDAQABoC8wFQYJKoZIhvcNAQkCMQgM
BkltYTJhNTAWBgkqhkiG9w0BCQcxCQwHcGFzZ2xvcDANBgkqhkiG9w0BAQsFAAOC
AQEAggN6DG6c1Ok+t7xplEikeYZKkyl2N9QxuCx48XCTxrRic7STYYB2Q3Q4j792
6CSg4vAx+4A3HFSUvt4hnr0F5QzIIgT3ajWAIPPCJ0KrRpLGXYK0h8TvF19+5ja1
5tJXrrl1ThT87LYIFkAhtkLai2Ep/Z7ENDquRqSZaf79/wXWPbMUodaSZIaGQoxO
U5sDvLTutdpd83lVWqbJ4Co1DpM3VD2z3ECe3dMZDcuTBCIfAXfVhcKzwsiBiyqJ
C/1lhGN7CC75B6PCYPIspSQKIe5V1J8BhxXycYbh35/O65zofOIwrMZU9rDmb0qA
bvFBGSD9A1TRtylxwMrOyTIHdw==
-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----
MIIGETCCBPmgAwIBAgIQQD7X5S+/F3WTOPPJuYTgrzANBgkqhkiG9w0BAQsFADBfMQswCQYDVQQG
EwJGUjEOMAwGA1UECBMFUGFyaXMxDjAMBgNVBAcTBVBhcmlzMQ4wDAYDVQQKEwVHYW5kaTEgMB4G
A1UEAxMXR2FuZGkgU3RhbmRhcmQgU1NMIENBIDIwHhcNMTkxMTEzMDAwMDAwWhcNMjAxMTEzMjM1
OTU5WjBeMSEwHwYDVQQLExhEb21haW4gQ29udHJvbCBWYWxpZGF0ZWQxGzAZBgNVBAsTEkdhbmRp
IFN0YW5kYXJkIFNTTDEcMBoGA1UEAxMTaW1hMmE1LW1vbC1pc2guc2l0ZTCCASIwDQYJKoZIhvcN
AQEBBQADggEPADCCAQoCggEBAPIAQ2HpNh/f72EFAIfDjKuitCJ+gTneBxU5pzdgef4eUllNtVNb
7xQp+ildePOCj1T+F8SFAQYO4Im6F3XFBFrqIWpG42OAR3QsDop2SxQgwJ/ei2CLi+SH58JNvgft
dJAB0zoFDIyApFj54XK/9n9Xtg5IpGHJNoDIRB7T7Z81pTihDHyNFiFgap8IzPMZ1pYWxt1pXLi4
xIvCuMKPEJ/Ahj1rTtKqkyLcYBgDcyqdPpWb9q3Z1WvcLqfi6AyOxhmfCQDJwAxk6leaQ+5qSwn9
fpaQJ1crp2r7W/DuvcDkEFopXhtCdBOfRqi/7ExkfpYKapnMwMq2IcyACmJHHVcCAwEAAaOCAsgw
ggLEMB8GA1UdIwQYMBaAFLOQp9jJr07NYTyffK1df0H9aTDqMB0GA1UdDgQWBBSRNlkNETdysrxo
EOpmQ9eON0SLOTAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0TAQH/BAIwADAdBgNVHSUEFjAUBggrBgEF
BQcDAQYIKwYBBQUHAwIwSwYDVR0gBEQwQjA2BgsrBgEEAbIxAQICGjAnMCUGCCsGAQUFBwIBFhlo
dHRwczovL2Nwcy51c2VydHJ1c3QuY29tMAgGBmeBDAECATBBBgNVHR8EOjA4MDagNKAyhjBodHRw
Oi8vY3JsLnVzZXJ0cnVzdC5jb20vR2FuZGlTdGFuZGFyZFNTTENBMi5jcmwwcwYIKwYBBQUHAQEE
ZzBlMDwGCCsGAQUFBzAChjBodHRwOi8vY3J0LnVzZXJ0cnVzdC5jb20vR2FuZGlTdGFuZGFyZFNT
TENBMi5jcnQwJQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnVzZXJ0cnVzdC5jb20wNwYDVR0RBDAw
LoITaW1hMmE1LW1vbC1pc2guc2l0ZYIXd3d3LmltYTJhNS1tb2wtaXNoLnNpdGUwggEFBgorBgEE
AdZ5AgQCBIH2BIHzAPEAdwAHt1wb5X1o//Gwxh0jFce65ld8V5S3au68YToaadOiHAAAAW5j5/l/
AAAEAwBIMEYCIQCwlI5VaJUfUAg3u9CT/Mlek42R/JDke2Yaf1UCqFyMBgIhANvdjPn/m9X6HKY/
spP0BlMWGM+tyxBtnbyEIrrJqjyzAHYAXqdz+d9WwOe1Nkh90EngMnqRmgyEoRIShBh1loFxRVgA
AAFuY+f5cAAABAMARzBFAiBjkW/8HrXqbBGU0pzSUF9dVRKCQ9yBIVWvJBU73EagYwIhAM0XBb7k
XkeMQneNP2GOR8be3DrmUY2pf9EgkaQhelQgMA0GCSqGSIb3DQEBCwUAA4IBAQA97gLu2Iw9QQ3+
q2TdKh4RqZ5GLtzxrOQV3xxRlnGqb81vxZFojVCrK02VQgNLX/2g3DhB/yN+YD3gliL4yz7apL+k
NiX+SLHxFOqEVqFcK8k74fEoLxL4adNoKoUEzniupZR0wa7ZHROnuYc+ZQ5LEYgQNCzMpPFmVx4L
OKcJnhmHjQJpIppz2RK1khGsVSXHL445o8vKXWUhsuGQXZKvd24G234jg0nEkARvHe6apD/nsYqT
oBEbMOblH/nKvOhBhNkk1HqK15wh29gO5a2bawzwz8WLWi61WFs0HgKu6fvAugbIq88mkFg/JYoy
LPxkPJg3syfr2tIHAjfYG2Xk
-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

Dans cette partie, il est question de sécuriser des données à l'aide d'un système de virtualisation de stockage, ici RAID5.

L'intérêt est de pouvoir créer une redondance des systèmes de stockage (physique mais aussi virtuelle) afin de prévenir d'une défaillance de l'un d'entre eux.

Ici on choisit le protocole '''RAID5''' ('''R'''edundant '''A'''rray of '''I'''ndependent '''D'''isks) qui a pour particularité d'associer trois disques avec un système de codes de correction (les bits de parité) entre les données.

'''Point important''' : Le RAID5 ne fonctionne que pour une configuration d'au minimum 3 disques.

Il faut d'abord créer trois partitions sur le serveur corduan :

lvcreate -L1G -n ima2a5-rex4ever-disk1 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk2 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk3 virtual

Une fois effectué, on peut s'assurer de leur bonne création avec la ligne suivante :

lvdisplay

Ensuite formate les trois partitions créées.

mke2fs /dev/virtual/ima2a5-rex4ever-disk1 virtual
mke2fs /dev/virtual/ima2a5-rex4ever-disk2 virtual
mke2fs /dev/virtual/ima2a5-rex4ever-disk3 virtual

Maitenant, on va associer nos trois nouveaux disques virtuels à notre machine virtuelle. On va ainsi modifier le fichier de configuration de la VM sur cordouan dans le répertoire '''/etc/xen/ima2a5-mol-ish.cfg'''.
Mais auparavant, on étaint la VM : '''xl shutdown ima2a5-mol-ish'''

disk= [ ......................
'phy:/dev/virtual/ima2a5-rex4ever-disk1,xvdb3,w',
'phy:/dev/virtual/ima2a5-rex4ever-disk2,xvdb4,w',
'phy:/dev/virtual/ima2a5-rex4ever-disk3,xvdb5,w',
]

Puis on la redémarre :

xl create /etc/xen/ima2a5-mol-ish.cfg

On créé à présent le RAID5 avec l'utilitaire mdadm.

mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb3 /dev/xvdb4 /dev/xvdb5

Puis on effectue :

mdadm --monitor --daemonise /dev/md0

Et on formate on format le disque créé :

mkfs.ext4 /dev/md0

On définit notre disque dans la table des fichier système en modifiant le fichier '''/etc/fstab''' en ayant auparavant créé un dossier qui lui sera propre dans '''/media/''', ici '''mkdir /media/raid'''

/dev/md0 /media/raid ext4 defaults 0 1

On peut vérifier le bon montage avec la commande '''df'''

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

'''Commandes utiles :'''

{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Commande
|-
! scope="row" style="width: 40%"|Initialiser une partition à chiffrer
|style="width: 80%"|cryptsetup luksFormat -c aes -h sha256 /dev/sda1
|-
! scope="row" style="width: 40%"|Ouvrir un périphérique crypté
|style="width: 80%"|cryptsetup open --type luks /dev/sda1 <nom du systeme de fichier>
|-
! scope="row" style="width: 40%"|Monter le périphérique
|style="width: 80%"|mount -t ext4 /dev/mapper/<nom du systeme de fichier> /mnt/<nom du point de montage>
|-
! scope="row" style="width: 40%"|Ajouter une clé au conteneur précédent
|style="width: 80%"|cryptsetup luksAddKey /dev/sda1
|-
! scope="row" style="width: 40%"|Visualiser l'état d'un périphérique
|style="width: 80%"|cryptsetup luksDump /dev/sda1
|-
! scope="row" style="width: 40%"|Révoquer un slot
|style="width: 80%"|cryptsetup luksKillSlot /dev/sda1 <numero_de_slot>
|-
|}

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /mnt/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-29T14:06:08Z

Lmollet : /* Sécurisation de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
20191128 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

'''Commandes utiles'''

host -t any ima2a5-mol-ish.site
cat /var/log/daemon.log

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

Dans cette partie, il est question de sécuriser des données à l'aide d'un système de virtualisation de stockage, ici RAID5.

L'intérêt est de pouvoir créer une redondance des systèmes de stockage (physique mais aussi virtuelle) afin de prévenir d'une défaillance de l'un d'entre eux.

Ici on choisit le protocole '''RAID5''' ('''R'''edundant '''A'''rray of '''I'''ndependent '''D'''isks) qui a pour particularité d'associer trois disques avec un système de codes de correction (les bits de parité) entre les données.

'''Point important''' : Le RAID5 ne fonctionne que pour une configuration d'au minimum 3 disques.

Il faut d'abord créer trois partitions sur le serveur corduan :

lvcreate -L1G -n ima2a5-rex4ever-disk1 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk2 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk3 virtual

Une fois effectué, on peut s'assurer de leur bonne création avec la ligne suivante :

lvdisplay

Ensuite formate les trois partitions créées.

mke2fs /dev/virtual/ima2a5-rex4ever-disk1 virtual
mke2fs /dev/virtual/ima2a5-rex4ever-disk2 virtual
mke2fs /dev/virtual/ima2a5-rex4ever-disk3 virtual

Maitenant, on va associer nos trois nouveaux disques virtuels à notre machine virtuelle. On va ainsi modifier le fichier de configuration de la VM sur cordouan dans le répertoire '''/etc/xen/ima2a5-mol-ish.cfg'''.
Mais auparavant, on étaint la VM : '''xl shutdown ima2a5-mol-ish'''

disk= [ ......................
'phy:/dev/virtual/ima2a5-rex4ever-disk1,xvdb3,w',
'phy:/dev/virtual/ima2a5-rex4ever-disk2,xvdb4,w',
'phy:/dev/virtual/ima2a5-rex4ever-disk3,xvdb5,w',

]

Puis on la redémarre :

xl create /etc/xen/ima2a5-mol-ish.cfg

On créé à présent le RAID5 avec l'utilitaire mdadm.

mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb3 /dev/xvdb4 /dev/xvdb5

Puis on effectue :

mdadm --monitor --daemonise /dev/md0

Et on formate on format le disque créé :

mkfs.ext4 /dev/md0

On définit notre disque dans la table des fichier système en modifiant le fichier '''/etc/fstab''' en ayant auparavant créé un dossier qui lui sera propre dans '''/media/''', ici '''mkdir /media/raid'''

/dev/md0 /media/raid ext4 defaults 0 1

On peut vérifier le bon montage avec la commande '''df'''

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

'''Commandes utiles :'''

{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Commande
|-
! scope="row" style="width: 40%"|Initialiser une partition à chiffrer
|style="width: 80%"|cryptsetup luksFormat -c aes -h sha256 /dev/sda1
|-
! scope="row" style="width: 40%"|Ouvrir un périphérique crypté
|style="width: 80%"|cryptsetup open --type luks /dev/sda1 <nom du systeme de fichier>
|-
! scope="row" style="width: 40%"|Monter le périphérique
|style="width: 80%"|mount -t ext4 /dev/mapper/<nom du systeme de fichier> /mnt/<nom du point de montage>
|-
! scope="row" style="width: 40%"|Ajouter une clé au conteneur précédent
|style="width: 80%"|cryptsetup luksAddKey /dev/sda1
|-
! scope="row" style="width: 40%"|Visualiser l'état d'un périphérique
|style="width: 80%"|cryptsetup luksDump /dev/sda1
|-
! scope="row" style="width: 40%"|Révoquer un slot
|style="width: 80%"|cryptsetup luksKillSlot /dev/sda1 <numero_de_slot>
|-
|}

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /mnt/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G3

2019-11-29T13:25:45Z

Lmollet : /* Creation du Raid5 avec mdadm */

[[Fichier:Rex4ever.PNG|500px|right|frameless|© Copyright Ginette]]
== Accueil/Descriptif du groupe ==
Bienvenue sur la page du groupe 3. Le découpage en groupe par numéro permet de se repérer plus facilement dans l'adressage des différents réseaux nécessaire.Ce groupe est constitué de :

*Pascal Coint
*Quentin Weisbecker

Ce TP consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système nous avons à installer une machine virtuelle Xen avec l'OS Devian ainsi qu'implanter un auto-commutateur et un point d'accès. Nous effectuerons pas la suite des tests d'intrusion sur ces points d'accès afin de voir la vulnérabilité des différents protocoles de clé. Pour notre cas, nous nous étendrons sur les protocoles [https://fr.wikipedia.org/wiki/Wired_Equivalent_Privacy WEP] et [https://fr.wikipedia.org/wiki/Wi-Fi_Protected_Access WPA]-PSK.

== Informations importantes ==

{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Détails
|-
! scope="row" style="width: 40%"|ID VLAN
|style="width: 60%"|4
|-
! scope="row" style="width: 40%"|Réseau IP V4
|style="width: 60%"|10.60.3.0/24
|-
! scope="row" style="width: 40%"|Réseau IP V6
|style="width: 60%"|2001:660:4401:60B3::/64
|-
! scope="row" style="width: 40%"|Nom de l'ordinateur portable
|style="width: 60%"|Requin
|-
! scope="row" style="width: 40%"|Repérage à l'étiqueteuse
|style="width: 60%"|IMA2A5 - CW
|-
! scope="row" style="width: 40%"|Numéro de poste
|style="width: 60%"|Zabeth03
|-
|}

== La machine Virtuelle sous XEN : ima2a5-rex4ever ==
=== Note importante ===
Comme indiqué dans le sujet, nous allons créer une machine virtuelle via l'utilitaire [https://wiki.xenproject.org/wiki/Xen_Project_4.11_Man_Pages Xen] Linux sur le '''dom0 cordouan.insecserv.deule.net''' via la commande '''ssh''' et le compte administrateur usuel.Sur notre machine virtuelle nous créerons par la suite un compte pifou et un compte root identique au Zabeth.

=== Création de notre machine virtuelle XEN ===
Après s'être connecté, il faut maintenant creer la machine virtuelle :
xen-create-image --hostname=ima2a5-rex4ever --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force
L'installation se lance alors :

root@cordouan:~# xen-create-image --hostname=ima2a5-rex4ever --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force
Use of uninitialized value within %DIST in pattern match (m//) at /usr/bin/xen-create-image line 1803.

General Information
--------------------
Hostname : ima2a5-rex4ever
Distribution : ascii
Mirror : http://fr.deb.devuan.org/merged/
Partitions : swap 512M (swap)
/ 4G (ext4)
Image type : sparse
Memory size : 256M
Kernel path : /boot/vmlinuz-4.9.0-6-amd64
Initrd path : /boot/initrd.img-4.9.0-6-amd64

Networking Information
----------------------
IP Address : DHCP [MAC: xxxxxxx]

Creating partition image: /usr/local/xen/domains/ima2a5-rex4ever/swap.img
Done

Creating swap on /usr/local/xen/domains/ima2a5-rex4ever/swap.img
Done

Creating partition image: /usr/local/xen/domains/ima2a5-rex4ever/disk.img
Done

Creating ext4 filesystem on /usr/local/xen/domains/ima2a5-rex4ever/disk.img
Done
Installation method: debootstrap

L'installation peut sembler bloquer sur cette dernière ligne mais il est possible de voir ce qui se passe en arrière plan via un second terminal en SSH et la commande SSH
tail -f /var/xen-tools/ima2a5-rex4ever.log

A la fin de l'installation,on obtient le mot de passe root et des informations importantes :
Installation Summary
---------------------
Hostname : ima2a5-rex4ever
Distribution : ascii
MAC Address : xxxxxxxxxxx
IP Address(es) : dynamic
SSH Fingerprint : SHA256:xxxxxxx (DSA)
SSH Fingerprint : SHA256:xxxxxxx (ECDSA)
SSH Fingerprint : SHA256:xxxxxxx (ED25519)
SSH Fingerprint : SHA256:xxxxxxx (RSA)
Root Password : sZzrYYPFZEwxsfmFghddGW5

=== Ajout du bridge à ima2a5-rex4ever.cfg ===
Dans un premier lieu, on regarde l'existence du brige sur l'hote distant via :
brctl show
Ce qui nous retourne :
bridge name bridge id STP enabled interfaces
IMA2a5 8000.000af75e3dc0 no eth1
eth2
if3.0
IMA5sc 8000.000af75e3dc2 no eth3
eth5
Insecure 8000.c81f66c22b83 no vlan6
L3MRIT 8000.000af763ae2d no eth4
StudentsInfo 8000.c81f66c22b83 no vlan50
On voit bien l'existence du bridge '''IMA2a5''', il faut donc l'ajouter à notre .cfg qui est le fichier de configuration de la VM ('''/etc/xen/ima2a5-rex4ever.cfg''')
et on modifie la ligne commençant par '''vif =''' et on ajoute le bridge de la manière suivante :
vif = ['MAC:xxxxx,bridge = IMA2a5']
Après avoir modifié ce fichier, il faut le parser : xl create /etc/xen/ima2a5-rex4ever.cfg
Une erreur '''NUMA placement failed, performance might be affected''' peut apparaître mais elle indique juste que xen n'arrive pas à disposer les VM comme il veut sur les procs, mais cela n'impactera que les performances nous passons outre ce problème.

=== Démarrer la VM et accès console ===
On lance alors la commande pour accéder à la machine virtuelle:
xl create /etc/xen/ima2a5-rex4ever.cfg
On lance alors la commande pour accéder à la machine virtuelle:
xl console ima2a5-rex4ever

il demande alors le login (root) et le mdp (longue chaine précédemment générée). Après nous être logué,on change le mot de passe qui devient le même que le mot de passe du root de '''corduan''' ou d'une zabeth.

=== Montage des répertoires /var et /home ===
==== Creation des disques logique ====
Il faut d'abord créer les partitions logiques sur corduan via :
root@cordouan:~#lvcreate -L10G -n ima2a5-rex4ever-home virtual
root@cordouan:~#lvcreate -L10G -n ima2a5-rex4ever-var virtual
Il est possible qu'il affiche l'avertissement suivant : '''WARNING: ext2 signature detected on /dev/virtual/ima2a5-rex4ever-home at offset 1080. Wipe it? [y/n]'''
repondre alors oui(y).
Il est possible de verifier que votre partition a bien été crée via la commande :
lvdisplay
On obtient alors dans la liste de toutes les partitions, nous deux partitions précedemment créées
--- Logical volume ---
LV Path '''/dev/virtual/ima2a5-rex4ever-home'''
LV Name ima2a5-rex4ever-home
VG Name virtual
LV UUID mhJqFx-zO1m-PlOU-Zmeu-8NGx-7UUO-c2g9dP
LV Write Access read/write
LV Creation host, time cordouan, 2019-11-08 08:47:26 +0000
LV Status available
# open 0
LV Size 10.00 GiB
Current LE 2560
Segments 1
Allocation inherit
Read ahead sectors auto
- currently set to 256
Block device 254:3
--- Logical volume ---
LV Path '''/dev/virtual/ima2a5-rex4ever-var'''
LV Name ima2a5-rex4ever-var
VG Name virtual
LV UUID 9Bnl6S-6CE5-CtO2-hD8f-RidD-sps5-b1mrWg
LV Write Access read/write
LV Creation host, time cordouan, 2019-11-08 08:50:57 +0000
LV Status available
# open 0
LV Size 10.00 GiB
Current LE 2560
Segments 1
Allocation inherit
Read ahead sectors auto
- currently set to 256
Block device 254:4
Il faut maintenant faire pointer le système de fichier sur nos deux nouveaux repertoires pour finir la création :
mke2fs /dev/virtual/ima2a5-rex4ever-home
mke2fs /dev/virtual/ima2a5-rex4ever-var
Nos deux disques sont maintenant prêt, il ne reste plus qu'a les connecter avec la VM. Pour cela, il faut modifier le '''.cfg''' de nouveau.

==== Modification du fichier de configuration ====
Retournons donc dans le fichier '''/etc/xen/ima2a5-rex4ever.cfg''' et dans la section disk modifier tel que :

disk = [
'file:/usr/local/xen/domains/ima2a5-rex4ever/disk.img,xvda2,w',
'file:/usr/local/xen/domains/ima2a5-rex4ever/swap.img,xvda1,w',
'phy:/dev/virtual/ima2a5-rex4ever-home,xvdb1,w',
'phy:/dev/virtual/ima2a5-rex4ever-var,xvdb2,w',
]

Pour prendre effet il faut redémarrer la VM à l'aide des commandes
xl shutdown ima2a5-rex4ever
xl create /etc/xen/ima2a5-rex4ever.cfg

==== Configuration pour forcer le montage à chaque démarrage de la VM ====
Il faut ensuite aller dans la VM dans '''/etc/fstab''' et ajouter
/dev/xvdb1 /home ext4 defaults 0 2
#/dev/xvdb2 /var ext4 defaults 0 2

Ces deux lignes permettent d'assurer que les 2 disques /var et /home soient pris en compte au démarrage de la VM.('''ATTENTION POUR LE MOMENT BIEN LAISSER # DEVANT LA 2eme LIGNE''')
Relancer la machine comme précédemment expliqué et testé que le /home fonctionne.
Pour le /var c'est un peu plus compliqué comme manipulation et il faut faire EXTREMENT attention , une fausse manipulation peut tuer la machine.
mount /dev/xvdb2 /mnt
rm -rf /mnt/lock
rm -rf /mnt/log
rm -rf /mnt/run
mv /var/* /mnt
vi /etc/fstab
Maintenant decommentez la deuxième ligne que vous aviez ajouté précedemment. Puis il faut lancer la commande :
umount /mnt
mount -a
A l'aide de la commande '''fdisk -l''' depuis la VM, on peut verifier que nos quatres disques sont bien montés.De même avec '''df''' on obtient bien dans la liste les lignes :
Filesystem 1K-blocks Used Available Use% Mounted on
udev 75004 0 75004 0% /dev
tmpfs 23824 76 23748 1% /run
/dev/xvda2 4062912 459920 3376896 12% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 152500 0 152500 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 71076 9725844 1% /var
La machine est donc prête, on peut passer à l'installation des paquetages linux nécessaires
=== Mise en place de l'adresse statique ===
Précedemment nous avions mis l'adresse en DHCP or il est demandé d'avoir une adresse statique (pour notre groupe il s'agit de ''' 193.48.57.163/28 ''' )

=== Paquetage Linux ===
Pour commencer, on va tout d'abord mettre le système à jour via :
sudo apt-get update
==== Paquetages nécessaires pour le SSH ====
'''OpenSSH''' est un ensemble d'outils libres pour établir des communications chiffrées, donc sécurisées, sur un réseau informatique grâce au protocole '''SSH''' (Secure SHell).
Il chiffre tout le trafic (mots de passe y compris), via une combinaison astucieuse de chiffrement symétrique et asymétrique. '''OpenSSH''' fournit également d'autres méthodes d'authentification alternatives au traditionnel mot de passe.
Comme son nom l'indique, OpenSSH est développé dans le cadre du projet '''OpenBSD'''.

{| class="wikitable" style="text-align: center;width: 85%;margin: auto;"
! Nom de la bibliothèque !! Descriptif !! Commande
|-
! scope="row" style="width: 20%"|OpenSSh Client
|style="width: 40%"| Utilitaires de connexion SSH partie Client
|style="width: 40%"| sudo apt-get install openssh-client
|-
! scope="row" style="width: 20%"|OpenSSh Server
|style="width: 40%"| Utilitaires de connexion SSH partie Server
|style="width: 40%"| sudo apt install openssh-server
|-
|}

Dans notre cas, SSH est déjà présent sur la machine virtuelle.

==== Paquetages nécessaires pour le serveur Web Apache2 ====
Le logiciel libre Apache HTTP Server (Apache) est un serveur HTTP créé et maintenu au sein de la fondation Apache. C'est le serveur HTTP le plus populaire du World Wide Web. Il est distribué selon les termes de la licence Apache.
Pour l'installer, il faut taper la commande :
apt install apache2

==== Paquetages nécessaires pour le serveur DNS/DNSSEC bind ====
Le service DNS (Domain Name System) est un service TCP/IP permettant la correspondance entre un nom de domaine qualifié (FQDN : Fully Qualified Domain Name) et une adresse IP. Ainsi, grâce à DNS, il n'est pas nécessaire de se souvenir des adresses IP.Un serveur qui héberge le service DNS est appelé "serveur de noms". Ubuntu est livré par défaut avec BIND (Berkley Internet Naming Daemon), le serveur DNS le plus utilisé sur Internet. Pour installer bind9 :
apt install bind9

==== Paquetages nécessaires le gestionnaire de RAID Logiciel Mdadm ====
Mdadm est une solution de RAID logiciel très fiable et très répandue dans la communauté Linux. Ce paquetage sera nécessaire pour la création d'un RAID5
apt install mdadm

== Le Site Web : HTTP ==
=== Achat d'un nom de domaine ===
Pour la réalisation de ce TP, nous avons dû acheter un nom de domaine via le site [https://www.gandi.net/fr Gandi.net] . On retiendra que notre nom de domaine est : [https://www.ima2a5-rex4ever.site rex4ever.site].

=== Paramétrage apache2 ===
Après avoir installé Apache2 sur la machine ( [https://wiki-ima.plil.fr/mediawiki//index.php/TP_sysres_IMA2a5_2019/2020_G3#Paquetages_n.C3.A9cessaires_pour_le_serveur_Web_Apache2 voir ici]), il faut le paramétrer correctement (je me suis servi de [https://doc.ubuntu-fr.org/apache2 ce site]).Pour cela, on commence configurer le '''.conf''' Pour cela, on le crée via la commande '''nano /etc/sites-available/ima2a5-rex4ever.site.conf''' et on renseigne alors dans le fichier les détails suivants :
<VirtualHost *:80>
ServerName ima2a5-rex4ever.site
ServerAlias www.ima2a5-rex4ever.site
DocumentRoot "/var/www/ima2a5-rex4ever"
<Directory "/var/www/ima2a5-rex4ever">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/error.ima2a5-rex4ever.site.log
CustomLog /var/log/apache2/access.ima2a5-rex4ever.site.com.log combined
</VirtualHost>
Maintenant qu'il est configuré, on peut déployer le site via :
a2ensite ima2a5-rex4ever.site
Puis, on recharge la configuration de l'utilitaire Apache 2 :
service apache2 reload

=== Paramétrage du DNS ===
Le DNS (Domain Name Server) est un serveur qui permet de rattacher un nom à une IP et ainsi c'est lui qui permet de faire le lien entre le nom d'un site et son contenu
==== Glue Records sur Gandi ====
Le Glue Record permet de créer des alias et ainsi de lier des IP et à des noms.C'est fort pratique pour simplifier la configuration.Pour se faire il faut se rendre dans Domain , cliquer sur le nom de notre site , aller dans l'onglet Glue Records et cliquer sur ADD
name : dns.ima2a5-rex4ever.site
ip adresse(s) : 193.48.57.163
==== Affecter le DNS du coté de Gandi.net ====
Par défaut, les serveurs de noms (DNS) sont 3 serveurs de DNS Live Gandi, il faut ajouter les serveurs externes :
*ns6.gandi.net '''217.70.177.40'''
*dns.ima2a5-rex4ever.site '''193.48.57.163'''
'''Note:''' il faut compter 12 à 24 heures pour la propagation sur Internet.
==== Le paramétrage de bind9 ====
Le paramétrage repose sur la configuration de ses 3 fichiers :
===== Le fichier /etc/bind/named.conf.options =====
Ce fichier permet de gérer les DNS authorisés (de manière générale) à récuperer des informations de notre site. On le modifie pour permettre au dns de gandi de récuperer les données :

options {

// forwarders {
// 0.0.0.0;
// };
// dnssec-validation auto;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
'''allow-transfer { "allowed_to_transfer"; };'''
};

'''acl "allowed_to_transfer" {'''
''' 217.70.177.40/32; // adresse IP du dns6.gandi.net'''
};

===== Le fichier /etc/bind/named.conf.local =====
Il faut maintenant déclarer à Bind9 le nom de notre fichier de configuration de DNS sous forme de zone , on le fait via ce fichier. On lui renseigne la zone :

zone "ima2a5-rex4ever.site" {
type master;
file "/etc/bind/db.ima2a5-rex4ever.site";
};

===== le fichier /etc/bind/db.ima2a5-rex4ever.site=====
Enfin, il faut créer le fichier de configuration précedemment appelé :

;
; BIND data file for local loopback interface
;
$TTL 604800
@ IN SOA dns.ima2a5-rex4ever.site. root@ima2a5-rex4ever.site. ( <= METTRE UNE ADRESSE BIDON , pas necessaire
21112019 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS dns.ima2a5-rex4ever.site. <= DN du site
@ IN NS ns6.gandi.net.<= DNS de gandi
dns IN A 193.48.57.163 <= IP DE NOTRE DNS
www IN A 193.48.57.163 <= IP DE NOTRE SITE

Après 5 minutes de cuisson et avoir relancé bind9, c'est prêt le site en http est accessible et visualisable! On peut acceder au site internet http://www.ima2a5-rex4ever.site !

== Le Site Web : HTTPS ==
Le SSL (Secure Socket Layer) / TLS (Transport Layer Security) est le protocole de sécurité le plus répandu qui créé un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne. Dans notre société centrée sur un Internet vulnérable, le SSL est généralement utilisé lorsqu'un navigateur doit se connecter de manière sécurisée à un serveur web.

=== Generation d'un certificat ===

La première étape pour générer un certificat est de concevoir un jeu de 2 clefs qui sont un '''.key''' et un '''.csr'''
Pour obtenir ces deux fichiers, nous utilisons l'utilitaire '''OpenSSL'''.
openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-rex4ever.key -out ima2a5-rex4ever.csr

'''Mais alors comment marche cette commande?'''
Après avoir lu le descriptif que l'on peut obtenir via [http://www.delafond.org/traducmanfr/man/man1/openssl.1.html man openssl], il en ressort que les arguments sont :

{| class="wikitable" style="text-align: center;width: 85%;margin: auto;"
! Argument !! explication
|-
! scope="row" style="width: 40%"|req
|style="width: 60%"| Gestion X.509 Certificate Signing Request (CSR).
|-
! scope="row" style="width: 40%"|-nodes
|style="width: 60%"| Pas de chiffrage sur la clef privée (option arbitraire no des)
|-
! scope="row" style="width: 40%"|-newkey rsa:2048
|style="width: 60%"|demande de Génération d'une paire de clef RSA de 2048 bits et d'une demande de certificat.
|-
! scope="row" style="width: 40%"|-keyout ima2a5-rex4ever.key
|style="width: 60%"|spécification du nom de notre .key
|-
! scope="row" style="width: 40%"|-out ima2a5-rex4ever.csr
|style="width: 60%"|spécification du nom de notre demande de certificat .csr
|-
|}
Pour générer en bon éduforme notre demande,l'utilitaire a besoin des informations, voici ce que nous avons répondu:

Country Name (2 letter code) [AU]:'''FR'''
State or Province Name (full name) [Some-State]:'''Nord'''
Locality Name (eg, city) []:'''Lille'''
Organization Name (eg, company) [Internet Widgits Pty Ltd]:'''Polytech Lille'''
Organizational Unit Name (eg, section) []:'''IMA2A5'''
Common Name (e.g. server FQDN or YOUR name) []:'''ima2a5-rex4ever.site'''
Email Address []:'''pascal.coint@polytech-lille.net'''

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:'''glopglop!'''
Optionnal informations :

==== Affectation du certificat sur Gandi.net ====
Après avoir répondu , il génère alors 2 fichiers. Le '''.key''' est notre clef privée elle restera donc en notre unique possession. On partage avec gandhi (qui est également un générateur de certificat) notre '''.csr'''. Il va donc étudier la validité de notre domaine et le certifier ou non.

''' Contenu de notre CSR'''
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Puis, Gandi.net va demander une méthode de vérification sur le serveur web cible afin de savoir s'il s'agit bien de notre serveur.Il existe trois possibilités:
*Par verification DNS
*Par Mail
*Par fichier
Nous avons choisi la méthode par fichier, certes un peu longue mais ne nécessitant pas l'intervention de Monsieur Redon.
On copie ainsi un fichier temporaire à l'endroit indiqué par gandi et on attend que gandi valide la demande.
Après une verification de la part de Gandi (qui nécessite plusieurs dizaines de minutes), on obtient un certificat ('''.csr''') et le certificat intermédiaire ('''.pem''')
Ils sont nécessaires pour la configuration du site en HTTPS.

=== S'assurer qu'Apache écoute le port 443 (protocole https) ===
On sait que le protocole HTTPS se sert du port 443 pour communiquer , verifions alors que c'est bien le cas :
root@ima2a5-rex4ever:/etc/apache2# netstat -tanpu |grep "LISTEN" |grep "443"
tcp6 0 0 :::443 :::* LISTEN 10706/apache2
Le résultat indique en effet que le port 443 est ecouté par apache2, ce qui signifie qu'il ne faut pas faire de configuration supplémentaire.

=== Activation du protocole SSL ===
Il faut activer le module qui gère le protocole SSL via la commande :
a2enmode ssl
service apache2 restart

=== Configuration du VirtualHost Apache pour le protocole HTTPS ===
Afin de ne pas saboter la configuration HTTP déjà en place, on va dupliquer la configuration disponible dans /sites-available:
cp ima2a5-rex4ever.site.conf ima2a5-rex4ever.site-ssl.conf
Modification :
<VirtualHost *:443>
# General setup for the virtual host
DocumentRoot "/var/www/ima2a5-rex4ever"
ServerName ima2a5-rex4ever.site:443 ServerAdmin pascal.coint@polytech-lille.net ErrorLog "/usr/local/apache2/logs/error_log" TransferLog "/usr/local/apache2/logs/access_log" # Activation du SSL SSLEngine On

# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on

# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificate/ima2a5-rex4ever.cer"
SSLCACertificateFile "/etc/apache2/certificate/ima2a5-rex4ever.pem"
# Chemin vers la clée privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificate/ima2a5-rex4ever.key"
</VirtualHost>
On peut maintenant permuter les fichiers .conf et renommer notre ancien .conf en "ima2a5-rex4ever.site-http.conf"
'''Note :''' Comme vous aurez pu le remarquer, j'ai créer un dossier certificate dans lequel j'ai mis le .cer,le .csr,le.key et le .pem afin de ne pas les perdre.
On va ensuite décharger puis recharger le site :
a2dissite ima2a5-rex4ever.site
a2ensite ima2a5-rex4ever.site
service apache2 restart

Ensuite on va regarder quels sont nos sites actifs à l'aide de apache2ctl -S , ce qui retourne :
*:80 ima2a5-rex4ever.site (/etc/apache2/sites-enabled/000-default.conf:1)
*:443 ima2a5-rex4ever.site (/etc/apache2/sites-enabled/ima2a5-rex4ever.site.conf:13)
Le site est prêt pour le HTTPS

=== Securisation du DNS : Le DNSSEC ===
Avoir un site sécurisé c'est bien , avoir toute la chaine de transmission pour éviter les fraude c'est encore mieux. Pour cela, il est possible de concevoir un DNSSEC (contraction de DNS SECURISED)

==== Génération de paires de clefs KSK et ZSK ====

Tout comme pour le certification HTTPS,il faut générer deux paires de clefs pour notre DNSSEC. On peut le faire avec la méthode RSAHA1 suivante :
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-rex4ever.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-rex4ever.site
On obtient alors deux paires de clefs que l'on renomme et que l'on place dans un dossier (que l'on créé evidemment) à l'emplacement '''/etc/bind/ima2a5-rex4ever.site.dnssec'''

==== Modification de /etc/bind/db.ima2a5-rex4ever.site ====
Pour une raison que j'ignore, les commandes liées au DNS ont du mal avec les fichiers en db.quelquechose, on renomme donc '''db.ima2a5-rex4ever.site''' en '''ima2a5-rex4ever.site'''
Puis on ouvre ce fichier fraichement renommé et on ajoute les lignes de la manière suivante :
;
; BIND data file for local loopback interface
;
$TTL 604800
'''$include /etc/bind/ima2a5-rex4ever.site.dnssec/ima2a5-rex4ever.site-ksk.key'''
'''$include /etc/bind/ima2a5-rex4ever.site.dnssec/ima2a5-rex4ever.site-zsk.key'''
@ IN SOA dns.ima2a5-rex4ever.site. root@ima2a5-rex4ever.site. (
29112025 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS dns.ima2a5-rex4ever.site.
@ IN NS ns6.gandi.net.
dns IN A 193.48.57.163
www IN A 193.48.57.163

Il faut maintenant faire signer le document grâce à la commande suivante (on créé ainsi le document '''ima2a5-rex4ever.site.signed'''):
dnssec-signzone -o ima2a5-rex4ever.site -k ima2a5-rex4ever.site.dnssec/ima2a5-rex4ever.site-ksk ima2a5-rex4ever.site ima2a5-rex4ever.site.dnssec/ima2a5-rex4ever.site-zsk

==== Modification de /etc/bind/named.conf.local ====
Maintenant que le document est signé, il faut dire à Bind de pointer sur celui-ci plutot que sur db....
Pour ce faire il faut modifier named.conf.local de cette manière :

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "ima2a5-rex4ever.site" {
type master;
file "/etc/bind/ima2a5-rex4ever.site.signed";
};

==== Modification de /etc/bind/named.conf.options ====
De même que pour le DNS, il faut modifier de la manière suivante pour le DNSSEC :
'''dnssec-validation auto;'''
'''dnssec-enable yes;'''
'''dnssec-lookaside auto;'''
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer { "allowed_to_transfer"; };
};

acl "allowed_to_transfer" {
217.70.177.40/32; // adresse IP du dns6.gandi.net
};

Il ne reste plus qu'a relancer , et on peut voir le résultat grâce à [https://dnsviz.net DNSVIZ]

== Attaque d'une installation Wi-fi ==
=== Description ===
Notre Client Wi-fi est un ordinateur portable fourni par Monsieur Redon. Il ne nécessite pas nécessairement de configuration. Cependant, la clef Wi-Fi fournie avec elle doit être paramétrée (la datasheet peut se trouver à l'adresse suivant ; [https://www.farnell.com/datasheets/1669935.pdf Datasheet]). De plus, il faut installer les paquetages nécessaire pour craquer la clef Wep et la clef WPA

=== Installation du paquetage AirCrack-ng ===
Pour installer [https://doc.ubuntu-fr.org/aircrack-ng AirCrack] (utilitaire qui permet de casser les clefs WEP et WPA), il suffit de taper la commande :
apt-get install aircrack-ng
'''Note:''' il faut auparavant configurer le réseau pour se connecter à internet.

=== Utilisation de AirCrack pour clef WEP ===
Après avoir branché la clef WiFi, on se sert de '''airmon-ng''' qui est un utilitaire qui espionne le réseau et permet d'obtenir les types d'interfaces communicantes/espionnable.
airmon-ng
Pour tenter de s'y connecter en tant qu'espion, il faut alors taper (nous le tapons ici avec wlan0mon):
airmong-ng start NOMRESEAUESPIONNABLE
Puis, pour observer et découvrir les canaux associés au réseau et leurs SSID,il faut taper:
airodump-ng --encrypt wep NOMRESEAUESPIONNABLE
Puis à l'aide d'un second terminal, on peut stocker les informations volées dans un .txt :
Airodump-ng FICHIER.txt -c 2 --bssid ADDRESSBSSID NOMRESEAUESPIONNABLE
Ce qui donne dans notre cas :
airmon-ng
airmong-ng start wlan0mon
airodump-ng --encrypt wep wlan0mon
Airodump-ng -w reseau_1.txt -c 2 --bssid 04:DA:D2:50:53 wlan0mon (<== pour le réseau cracotte 3)

Commence alors le craquage de la clef Wifi en Wep. On estime qu'il faut capturer plus ou moins 50 000 datas pour approximer 50% de chance de craquer la clef.
Après 40 000 datas volées , on réussit à craquer la clef, il nous aura fallu environ '''14 minutes'''.

KEY FOUND! [BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44:44 ]
Decrypted correctly : 100%

=== Utilisation de AirCrack pour clef WPA2-PSK ===
De même que précedemment, on recommence en changeant le --encrypt et on obtient :
airmon-ng
airmong-ng start wlan0mon
airodump-ng --encrypt wpa wlan0mon
On obtient les informations suivantes sur notre réseau cible :
Channel: 2
SSIDName: kracotte03
BSSIDAdress: 04:DA:D2:9C:50:5A

On peut alors espionner et voler des informations avec les '''handshakes''':
airodump-ng -w kracotte03 -c 2 --bssid 04:DA:D2:9C:50:5A

'''-w kracotte03''' indique que l'on souhaite tout enregistrer dans un fichier nommé '''kracotte03.'''. On obtient alors après un moment les datas volées et les informations sont extraites sous plusieurs formats.
Le format '''.cap''' est compatible avec l'utilitaire que nous allons utiliser, on le copie donc sur une clef USB et on va cracker la clef sur une zabeth (vitesse de calcul plus elevée).
Pour se faire , on construit un dictionnaire (ensemble possible de toutes les combinaisons) avec l'utilitaire Crunch via la commande :
crunch 8 8 123456789 >> Dico.txt
Notre dictionnaire est largement simplifié car nous sommes au courant qu'il s'agit d'un ensemble de 8 chiffres de 1 a 9 , ce qui permet de préciser à crunch une taille min et max de 8 et les caractères admissibles de 1 à 9
Le dictionnaire est maintenant prêt, on lance alors le cassage de clef par force brute :
aircrack-ng psk-01.cap -w Dico.txt

Après TREEEEEEEEEEEEEEEEEEEEEEEEEEEEEES Longtemps , on obtient la clef :
[00:21:41] 10233332/102795810 keys tested (7985.18 k/s)

Time left: 3 hours, 13 minutes, 12 seconds 9.96%
KEY FOUND! [ 10233333 ]
Master Key : 5A D9 A4 39 7A 4E 14 A6 44 DE C4 AB FF 1E 63 D7
46 7B F8 02 23 ED EA A9 82 3F 6A FC 68 DE F2 5D
Transient Key : 29 DA 59 3B EC 25 DB 6A 62 AD 50 2C 17 52 BC F8
C9 CD 7C 85 A5 07 7E 44 84 B5 A6 EB 2E 47 B3 D0
1C CC CC F8 24 EB 00 0A C0 7B B8 60 13 AE 57 74
1E 15 A9 FC D7 A8 E5 C6 14 9B 01 60 E4 C4 96 43
EAPOL HMAC : 15 99 D7 E0 33 B3 E1 4C 57 6F 8E E4 69 AF B0 08

== Diverses commandes ==
=== Creation du Raid5 avec mdadm ===
Nous commencons par créer un RAID5 comme demandé dans la partie 6.1 du sujet.
La manipulation des disques dur restera toujours une opération délicate demandant un maximum d'attention et ne devant pas se faire à la va-vite. Rien de mieux qu'un bon dimanche pluvieux pour s'aventurer dans ces contrées. Ne jamais oublier que les erreurs de manipulation sur les disques sont souvent irréversibles. Vous l'aurez compris, je vous dis tout ça afin de vous désigner comme seul responsable en cas de problèmes qui pourraient survenir sur votre matériel.

Pour se faire on commence par créer 3 disques de 1Go chacun:
lvcreate -L1G -n ima2a5-rex4ever-disk1 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk2 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk3 virtual
On éteint la machine et on recommence la même manipulation que pour la partie 3.5.1 du wiki pour attacher disk1,disk2 et disk3.
Nos 3 disques sont maintenant reliées à notre machine comme on le peut voir avec la commande '''fdisk -l'''

Disk /dev/xvdb3: 1 GiB, 1073741824 bytes, 2097152 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

Disk /dev/xvdb4: 1 GiB, 1073741824 bytes, 2097152 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

Disk /dev/xvdb5: 1 GiB, 1073741824 bytes, 2097152 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

On nous propose de réaliser le raid5 logiciel avec l'utilitaire mdadm ([https://doc.ubuntu-fr.org/raid_logiciel mdadm])
Assemblons maintenant nos 3 disques en un RAID5 via la commande :
mdadm --create /dev/md0 --level=5 --raid-devices=3 /dev/xvdb3 /dev/xvdb4 /dev/xvdb5
'''Note:''' Ne pas essayer de renommer md0
Pour automatiser le raid5 à chaque démarrage:
mdadm --monitor --daemonise /dev/md0
Puis le formatage du volume RAID nouvellement créé:
mkfs.ext4 /dev/md0
Déclarez ce volume dans `/etc/fstab` pour que le système le monte au démarrage (le système de fichier, pas le volume en lui même). Pour ce faire Editez le fichier /etc/fstab et ajoutez à sa fin la ligne :
/dev/md0 /media/raid ext4 defaults 0 1
Puis créer le fichier /media/raid qui est le fichier sur lequel le raid est monté :
mkdir /media/raid
En retirant un disque (mise en commentaire /etc/fstab), le disque md0 est toujours actif et utilisable.

=== Cryptage de données ===
Le cryptage des données s'effectue grâce à l'utilitaire [https://doc.ubuntu-fr.org/cryptsetup cryptsetup].
==== Remettre à zero la clef USB ====
Pour se faire, on commence par chercher le nom de la clef USB cible dans le gestionnaire :
lsblk
Dans notre cas,le périphérique cible est nommé '''sda''' (il peut aussi s'appeler sdb ,sdc ...)
On va acceder aux partitions via :
fdisk /dev/sda
Le menu suivant apparait alors :
Welcome to fdisk (util-linux 2.25.2).
Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.
Command (m for help):
On va d'abord nettoyer la clef avant d'y crypter nos données, pour cela on entre le choix 'd' et on supprime les partitions existantes.

Puis pour créer une nouvelle partition on entre le choix 'n' puis 'p' qui correspond à :
'''n''' nouvelle partition
'''p''' partition primaire

Command (m for help): n
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p):

Using default response p.
Partition number (1-4, default 1): '''1'''
First sector (1-1953525167, default 2048):'''1'''
Last sector, +sectors or +size{K,M,G,T,P} (2048-1953525167, default 1953525167):
Created a new partition 1 of type 'Linux' and of size 7.1GiB.

Puis on sauvegarde :

Command (m for help): w
The partition table has been altered.
Calling ioctl() to re-read partition table.
Syncing disks.

==== Cryptage de la Clef ====
La clef est prête, on peut desormais crypter et l'utiliser avec l'utilitaire cyptsetup.
Pour créer le cryptage au format Luks :
cryptsetup luksFormat -c aes -h sha256 /dev/sdb

==== Accès à la partition cryptée ====
Maintenant que la clef est cryptée, on peut l'utiliser. Pour commencer, on va monter le répertoire pour pouvoir l'ouvrir. Commencez par créer un repertoire '''/mnt/clef_usb_cryptee''' puis taper la suite de commande :
cryptsetup open --type luks /dev/sdb home -- ouverture de la clef
mkfs.ext4 /dev/mapper/home -- Système de fichier relié
mount -t ext4 /dev/mapper/home /mnt/clef_usb_cryptee

On peut maintenant acceder au contenu de la clef et le modifier via le dossier '''/mnt/clef_usb_cryptee'''

==== Debrancher la partition cryptée ====
Pour débrancher la clef, il faut au préalable démonter la partition et refermer l'utilitaire via les commandes:
umount /mnt/clef_usb_cryptee -- Demonter le repertoire
cryptsetup close --type luks home
Et voila, vous pouvez désormais retirer la clef.

=== Réseau WPA2-EAK ===

== Architecture Réseau ==

Dans cette partie, vous trouverez comment nous avons configuré les routeurs ainsi que les commutateurs qui se trouve dans les salles E304 et E306.

=== Configuration des 2 commutateurs ===

===== Connexion =====

Pour accéder au commutateur, nous avons utilisé minicom avec un cable série directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le '''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Voici quelque commandes de base qui nous ont servi pour la configuration des commutateurs

enable // passage en admin pour pouvoir accéder aux données du commutateur

write // Sauvegarde de la configuration et l’implanter dans le commutateur

show interface status OU sh int status // Montre l'état de toutes les interfaces présentes sur le commutateur ainsi que les données associées

configuration terminal // permets d'accéder aux interfaces et ainsi pouvoir les modifier

exit // permets de sortir du configurateur actuel (par exemple sortir de l'interface)

==== Configuration des ports du commutateur ====

Nous avons 4 connexions qui sont dirigées vers le commutateur de la salle E304 ainsi que celui en E306
- Un lien vers le routeur
- Un lien vers la borne wifi
- Un lien vers Corduan
- Un lien vers l'autre commutateur

{| class="wikitable" style="text-align: center;width: 85%;margin: auto;"
! Connexion !! E306 !! E304
|-
! scope="row" style="width: 20%"|Corduan
|style="width: 40%"| Gigabitethernet 5/1
|style="width: 40%"| Gigabitethernet 1/2
|-
! scope="row" style="width: 20%"|Borne Wifi
|style="width: 40%"| Gigabitethernet 5/3
|style="width: 40%"| Gigabitethernet 2/2
|-
! scope="row" style="width: 20%"|Router
|style="width: 40%"| Ge 5/1(E306) & Ge 1/1(E304)
|style="width: 40%"| Ge 1/1(E306) & Ge 2/2(E304)
|-
|}
}

===== Création du lien pour la borne wifi =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport //Rendre accessible la modification du port
switchport trunk encapsulation dot1q //Encapsule avec la trame le numéro du Vlan associé, ce qui permettra de d'avoir de quel équipement viens le paquet ainsi la réponse sera dirigé vers le bon port
switchport mode trunk //Configure le port du switch en mode trunk, ce qui permets de ne pas avoir de restriction sur les Vlan, tous les Vlan peuvent passer à travers ce port
no shut //Démarre le port ou de le garder actif
exit
exit
write

===== Création du lien pour Corduan =====

enable
configure terminal
interface XXXX
switchport
switchport mode access //Rendre modifiable le port
switchport access vlan42 //Autoriser le vlan 42 à transister à travers ce port
no shutdown
exit
exit
write

===== Création du lien pour le router =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création du lien pour l'autre commutateur =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création des Vlan =====

enable
conf t
vlan 42
name Corduan
exit
exit
write

enable
conf t
vlan 2 à 7
name groupe 1 à 6
exit
exit
write

enable
conf t
vlan 130
name interconnexion
exit
exit
write

Pour supprimer un vlan il suffit de faire :
no vlan X

=== Configuration du router E304 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyACM0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

==== Interconnexion du réseau IPV4 ====

configure terminal
ip routing
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.0.254
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.6 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexion

enable

configure terminal

interface XXXX
no ip address //Pas d'addresse IP associé
negotiation auto //Détermine automatiquement la vitesse de transfert
media-type RJ45 //Type de connexion (ici RJ45)

Voici les vlan associé à nos groupes :

service instance 2 ethernet // création d'un vlan 2 dans cette interface
encapsulation dot1q 2 // Permets d'assurer une continuité d'un VLAN issue d'un switch sur un routeur via un lien trunk
rewrite ingress tag pop 1 symmetric // retire le tag du vlan
bridge-domain 2 //création d'un bridge domaine interface (BDI) attribué au chiffre 2

service instance 3 ethernet
encapsulation dot1q 3
rewrite ingress tag pop 1 symmetric
bridge-domain 3

service instance 4 ethernet
encapsulation dot1q 4
rewrite ingress tag pop 1 symmetric
bridge-domain 4

service instance 5 ethernet
encapsulation dot1q 5
rewrite ingress tag pop 1 symmetric
bridge-domain 5

service instance 6 ethernet
encapsulation dot1q 6
rewrite ingress tag pop 1 symmetric
bridge-domain 6

service instance 7 ethernet
encapsulation dot1q 7
rewrite ingress tag pop 1 symmetric
bridge-domain 7

Voici le vlan associé à l'interconnexion :

service instance 42 ethernet
encapsulation dot1q 42
rewrite ingress tag pop 1 symmetric
bridge-domain 42

====== Vers le SR 32 ======
interface XXXX
no ip address
negotiation auto
service instance 130 ethernet
encapsulation dot1q 130
bridge-domain 130

===== Configuration des BDI =====

conf t

interface BDI1
ip address 10.60.0.253 255.255.255.0
exit

interface BDI2
ip address 10.60.1.254 255.255.255.000 //Attribut l'addresse IPV4 pour le routeur ainsi que son mask
standby version 2 //Activation du HSRP (Host service Routing protocole) version 2 plus stable que la 1
standby 3 ip 10.60.1.252 //Donne l'addresse IPV4 du routeur virtuelle pour le HSRP
standby 3 preempt // Activation du HSRP
ipv6 address 2001:660:4401:60B2::/64 eui-64 //Attribut l'addresse IPV6
ipv6 enable //Active l'addressage IPV6
ipv6 nd prefix 2001:660:4401:60B2::/64 1000 900 //Donner un préfixe IPV6 à chaque machine
ipv6 nd router-preference high //IPV6 sera la route de préférence par défaut avec une forte probabilitée
exit

interface BDI3
ip address 10.60.2.254 255.255.255.000
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI4
ip address 10.60.3.254 255.255.255.000
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI5
ip address 10.60.4.254 255.255.255.000
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI6
ip address 10.60.5.254 255.255.255.000
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI7
ip address 10.60.6.254 255.255.255.000
standby version 2
standby 6 ip 10.60.6.252
standby 6 preempt
ipv6 address 2001:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI42
ip address 193.48.57.173 255.255.255.240
standby version 2
standby 7 ip 193.48.57.172
standby 7 preempt
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
exit

int vlan 130
ip address 192.168.222.1 255.255.255.248
ipv6 address fe80::2 link-local
ipv6 enable
ipv6 rip tpima2a5 enable
exit
ip rooting

exit
write

=== Configuration du router E306 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

==== Interconnexion du réseau IPV4 ====

configure terminal
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.0.253
log-adjacency-changes
summary-address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexio

conf t

interface Vlan1
ip address 10.60.0.253 255.255.255.0
exit

interface Vlan2
ip address 10.60.1.253 255.255.255.0
ipv6 address 2001:660:4401:60B2::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B2::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 2 ip 10.60.1.252
standby 2 preempt
exit

interface Vlan3
ip address 10.60.2.253 255.255.255.0
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
exit

interface Vlan4
ip address 10.60.3.253 255.255.255.0
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
exit

interface Vlan5
ip address 10.60.4.253 255.255.255.0
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
exit

interface Vlan6
ip address 10.60.5.253 255.255.255.0
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
exit

interface Vlan7
ip address 10.60.6.253 255.255.255.0
ipv6 address 2201:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2201:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 7 ip 10.60.6.252
standby 7 preempt
exit

interface Vlan42
ip address 193.48.57.174 255.255.255.0
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
standby version 2
standby 42 ip 193.48.57.172
standby 42 preempt
exit

interface Vlan130
ip address 192.168.222.2 255.255.255.248
ipv6 address FE80::42:3 link-local
ipv6 enable
exit

exit
write

TP sysres IMA2a5 2019/2020 G2

2019-11-29T13:08:26Z

Lmollet : /* Sécurisation de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
20191128 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

'''Commandes utiles'''

host -t any ima2a5-mol-ish.site
cat /var/log/daemon.log

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

Dans cette partie, il est question de sécuriser des données à l'aide d'un système de virtualisation de stockage, ici RAID5.

L'intérêt est de pouvoir créer une redondance des systèmes de stockage (physique mais aussi virtuelle) afin de prévenir d'une défaillance de l'un d'entre eux.

Ici on choisit le protocole '''RAID5''' ('''R'''edundant '''A'''rray of '''I'''ndependent '''D'''isks) qui a pour particularité d'associer trois disques avec un système de codes de correction (les bits de parité) entre les données.

'''Point important''' : Le RAID5 ne fonctionne que pour une configuration d'au minimum 3 disques.

Il faut d'abord créer trois partitions sur le serveur corduan :

lvcreate -L1G -n ima2a5-rex4ever-disk1 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk2 virtual
lvcreate -L1G -n ima2a5-rex4ever-disk3 virtual

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

'''Commandes utiles :'''

{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Commande
|-
! scope="row" style="width: 40%"|Initialiser une partition à chiffrer
|style="width: 80%"|cryptsetup luksFormat -c aes -h sha256 /dev/sda1
|-
! scope="row" style="width: 40%"|Ouvrir un périphérique crypté
|style="width: 80%"|cryptsetup open --type luks /dev/sda1 <nom du systeme de fichier>
|-
! scope="row" style="width: 40%"|Monter le périphérique
|style="width: 80%"|mount -t ext4 /dev/mapper/<nom du systeme de fichier> /mnt/<nom du point de montage>
|-
! scope="row" style="width: 40%"|Ajouter une clé au conteneur précédent
|style="width: 80%"|cryptsetup luksAddKey /dev/sda1
|-
! scope="row" style="width: 40%"|Visualiser l'état d'un périphérique
|style="width: 80%"|cryptsetup luksDump /dev/sda1
|-
! scope="row" style="width: 40%"|Révoquer un slot
|style="width: 80%"|cryptsetup luksKillSlot /dev/sda1 <numero_de_slot>
|-
|}

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /mnt/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-29T12:56:56Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
20191128 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

'''Commandes utiles'''

host -t any ima2a5-mol-ish.site
cat /var/log/daemon.log

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

Dans cette partie, il est question de sécuriser des données à l'aide d'un système de virtualisation de stockage, ici RAID5.

L'intérêt est de pouvoir créer une redondance des systèmes de stockage (physique mais aussi virtuelle) afin de prévenir d'une défaillance de l'un d'entre eux.

Ici on choisit le protocole '''RAID5''' ('''R'''edundant '''A'''rray of '''I'''ndependent '''D'''isks)

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

'''Commandes utiles :'''

{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Commande
|-
! scope="row" style="width: 40%"|Initialiser une partition à chiffrer
|style="width: 80%"|cryptsetup luksFormat -c aes -h sha256 /dev/sda1
|-
! scope="row" style="width: 40%"|Ouvrir un périphérique crypté
|style="width: 80%"|cryptsetup open --type luks /dev/sda1 <nom du systeme de fichier>
|-
! scope="row" style="width: 40%"|Monter le périphérique
|style="width: 80%"|mount -t ext4 /dev/mapper/<nom du systeme de fichier> /mnt/<nom du point de montage>
|-
! scope="row" style="width: 40%"|Ajouter une clé au conteneur précédent
|style="width: 80%"|cryptsetup luksAddKey /dev/sda1
|-
! scope="row" style="width: 40%"|Visualiser l'état d'un périphérique
|style="width: 80%"|cryptsetup luksDump /dev/sda1
|-
! scope="row" style="width: 40%"|Révoquer un slot
|style="width: 80%"|cryptsetup luksKillSlot /dev/sda1 <numero_de_slot>
|-
|}

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /mnt/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-29T12:56:44Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
20191128 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

'''Commandes utiles'''

host -t any ima2a5-mol-ish.site
cat /var/log/daemon.log

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

Dans cette partie, il est question de sécuriser des données à l'aide d'un système de virtualisation de stockage, ici RAID5.

L'intérêt est de pouvoir créer une redondance des systèmes de stockage (physique mais aussi virtuelle) afin de prévenir d'une défaillance de l'un d'entre eux.

Ici on choisit le protocole '''RAID5''' ('''R'''edundant '''A'''rray of '''I'''ndependent '''D'''isks)

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

'''Commandes utiles'''

{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Commande
|-
! scope="row" style="width: 40%"|Initialiser une partition à chiffrer
|style="width: 80%"|cryptsetup luksFormat -c aes -h sha256 /dev/sda1
|-
! scope="row" style="width: 40%"|Ouvrir un périphérique crypté
|style="width: 80%"|cryptsetup open --type luks /dev/sda1 <nom du systeme de fichier>
|-
! scope="row" style="width: 40%"|Monter le périphérique
|style="width: 80%"|mount -t ext4 /dev/mapper/<nom du systeme de fichier> /mnt/<nom du point de montage>
|-
! scope="row" style="width: 40%"|Ajouter une clé au conteneur précédent
|style="width: 80%"|cryptsetup luksAddKey /dev/sda1
|-
! scope="row" style="width: 40%"|Visualiser l'état d'un périphérique
|style="width: 80%"|cryptsetup luksDump /dev/sda1
|-
! scope="row" style="width: 40%"|Révoquer un slot
|style="width: 80%"|cryptsetup luksKillSlot /dev/sda1 <numero_de_slot>
|-
|}

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /mnt/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-29T12:56:12Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
20191128 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

'''Commandes utiles'''

host -t any ima2a5-mol-ish.site
cat /var/log/daemon.log

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----
MIIF6TCCA9GgAwIBAgIQBeTcO5Q4qzuFl8umoZhQ4zANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV
BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTQw
OTEyMDAwMDAwWhcNMjQwOTExMjM1OTU5WjBfMQswCQYDVQQGEwJGUjEOMAwGA1UE
CBMFUGFyaXMxDjAMBgNVBAcTBVBhcmlzMQ4wDAYDVQQKEwVHYW5kaTEgMB4GA1UE
AxMXR2FuZGkgU3RhbmRhcmQgU1NMIENBIDIwggEiMA0GCSqGSIb3DQEBAQUAA4IB
DwAwggEKAoIBAQCUBC2meZV0/9UAPPWu2JSxKXzAjwsLibmCg5duNyj1ohrP0pIL
m6jTh5RzhBCf3DXLwi2SrCG5yzv8QMHBgyHwv/j2nPqcghDA0I5O5Q1MsJFckLSk
QFEW2uSEEi0FXKEfFxkkUap66uEHG4aNAXLy59SDIzme4OFMH2sio7QQZrDtgpbX
bmq08j+1QvzdirWrui0dOnWbMdw+naxb00ENbLAb9Tr1eeohovj0M1JLJC0epJmx
bUi8uBL+cnB89/sCdfSN3tbawKAyGlLfOGsuRTg/PwSWAP2h9KK71RfWJ3wbWFmV
XooS/ZyrgT5SKEhRhWvzkbKGPym1bgNi7tYFAgMBAAGjggF1MIIBcTAfBgNVHSME
GDAWgBRTeb9aqitKz1SA4dibwJ3ysgNmyzAdBgNVHQ4EFgQUs5Cn2MmvTs1hPJ98
rV1/Qf1pMOowDgYDVR0PAQH/BAQDAgGGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYD
VR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMCIGA1UdIAQbMBkwDQYLKwYBBAGy
MQECAhowCAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNl
cnRydXN0LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNy
bDB2BggrBgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRy
dXN0LmNvbS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZ
aHR0cDovL29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAWGf9
crJq13xhlhl+2UNG0SZ9yFP6ZrBrLafTqlb3OojQO3LJUP33WbKqaPWMcwO7lWUX
zi8c3ZgTopHJ7qFAbjyY1lzzsiI8Le4bpOHeICQW8owRc5E69vrOJAKHypPstLbI
FhfFcvwnQPYT/pOmnVHvPCvYd1ebjGU6NSU2t7WKY28HJ5OxYI2A25bUeo8tqxyI
yW5+1mUfr13KFj8oRtygNeX56eXVlogMT8a3d2dIhCe2H7Bo26y/d7CQuKLJHDJd
ArolQ4FCR7vY4Y8MDEZf7kYzawMUgtN+zY+vkNaOJH1AQrRqahfGlZfh8jjNp+20
J0CT33KpuMZmYzc4ZCIwojvxuch7yPspOqsactIGEk72gtQjbz7Dk+XYtsDe3CMW
1hMwt6CaDixVBgBwAc/qOR2A24j3pSC4W/0xJmmPLQphgzpHphNULB7j7UTKvGof
KA5R2d4On3XNDgOVyvnFqSot/kGkoUeuDcL5OWYzSlvhhChZbH2UF3bkRYKtcCD9
0m9jqNf6oDP6N8v3smWe2lBvP+Sn845dWDKXcCMu5/3EFZucJ48y7RetWIExKREa
m9T8bJUox04FB6b9HbwZ4ui3uRGKLXASUoWNjDNKD/yZkuBjcNqllEdjB+dYxzFf
BT02Vf6Dsuimrdfp5gJ0iHRc2jTbkNJtUQoj1iM=
-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

Dans cette partie, il est question de sécuriser des données à l'aide d'un système de virtualisation de stockage, ici RAID5.

L'intérêt est de pouvoir créer une redondance des systèmes de stockage (physique mais aussi virtuelle) afin de prévenir d'une défaillance de l'un d'entre eux.

Ici on choisit le protocole '''RAID5''' ('''R'''edundant '''A'''rray of '''I'''ndependent '''D'''isks)

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

'''Commandes utiles'''

{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Commande
|-
! scope="row" style="width: 40%"|Initialiser une partition à chiffrer
|style="width: 60%"|cryptsetup luksFormat -c aes -h sha256 /dev/sda1
|-
! scope="row" style="width: 40%"|Ouvrir un périphérique crypté
|style="width: 60%"|cryptsetup open --type luks /dev/sda1 <nom du systeme de fichier>
|-
! scope="row" style="width: 40%"|Monter le périphérique
|style="width: 60%"|mount -t ext4 /dev/mapper/<nom du systeme de fichier> /mnt/<nom du point de montage>
|-
! scope="row" style="width: 40%"|Ajouter une clé au conteneur précédent
|style="width: 60%"|cryptsetup luksAddKey /dev/sda1
|-
! scope="row" style="width: 40%"|Visualiser l'état d'un périphérique
|style="width: 60%"|cryptsetup luksDump /dev/sda1
|-
! scope="row" style="width: 40%"|Révoquer un slot
|style="width: 60%"|cryptsetup luksKillSlot /dev/sda1 <numero_de_slot>
|-
|}

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /mnt/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-29T12:55:57Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
20191128 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

'''Commandes utiles'''

host -t any ima2a5-mol-ish.site
cat /var/log/daemon.log

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

Dans cette partie, il est question de sécuriser des données à l'aide d'un système de virtualisation de stockage, ici RAID5.

L'intérêt est de pouvoir créer une redondance des systèmes de stockage (physique mais aussi virtuelle) afin de prévenir d'une défaillance de l'un d'entre eux.

Ici on choisit le protocole '''RAID5''' ('''R'''edundant '''A'''rray of '''I'''ndependent '''D'''isks)

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

'''Commandes utiles'''

{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Commande
|-
! scope="row" style="width: 40%"|Initialiser une partition à chiffrer
|style="width: 60%"|cryptsetup luksFormat -c aes -h sha256 /dev/sda1
|-
! scope="row" style="width: 40%"|Ouvrir un périphérique crypté
|style="width: 60%"|cryptsetup open --type luks /dev/sda1 <nom du systeme de fichier>
|-
! scope="row" style="width: 40%"|Monter le périphérique
|style="width: 60%"|mount -t ext4 /dev/mapper/<nom du systeme de fichier> /mnt/<nom du point de montage>
! scope="row" style="width: 40%"|Ajouter une clé au conteneur précédent
|style="width: 60%"|cryptsetup luksAddKey /dev/sda1
|-
! scope="row" style="width: 40%"|Visualiser l'état d'un périphérique
|style="width: 60%"|cryptsetup luksDump /dev/sda1
|-
! scope="row" style="width: 40%"|Révoquer un slot
|style="width: 60%"|cryptsetup luksKillSlot /dev/sda1 <numero_de_slot>
|-
|}

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /mnt/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-29T12:45:39Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
20191128 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

'''Commandes utiles'''

host -t any ima2a5-mol-ish.site
cat /var/log/daemon.log

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----
MIIGETCCBPmgAwIBAgIQQD7X5S+/F3WTOPPJuYTgrzANBgkqhkiG9w0BAQsFADBfMQswCQYDVQQG
EwJGUjEOMAwGA1UECBMFUGFyaXMxDjAMBgNVBAcTBVBhcmlzMQ4wDAYDVQQKEwVHYW5kaTEgMB4G
A1UEAxMXR2FuZGkgU3RhbmRhcmQgU1NMIENBIDIwHhcNMTkxMTEzMDAwMDAwWhcNMjAxMTEzMjM1
OTU5WjBeMSEwHwYDVQQLExhEb21haW4gQ29udHJvbCBWYWxpZGF0ZWQxGzAZBgNVBAsTEkdhbmRp
IFN0YW5kYXJkIFNTTDEcMBoGA1UEAxMTaW1hMmE1LW1vbC1pc2guc2l0ZTCCASIwDQYJKoZIhvcN
AQEBBQADggEPADCCAQoCggEBAPIAQ2HpNh/f72EFAIfDjKuitCJ+gTneBxU5pzdgef4eUllNtVNb
7xQp+ildePOCj1T+F8SFAQYO4Im6F3XFBFrqIWpG42OAR3QsDop2SxQgwJ/ei2CLi+SH58JNvgft
dJAB0zoFDIyApFj54XK/9n9Xtg5IpGHJNoDIRB7T7Z81pTihDHyNFiFgap8IzPMZ1pYWxt1pXLi4
xIvCuMKPEJ/Ahj1rTtKqkyLcYBgDcyqdPpWb9q3Z1WvcLqfi6AyOxhmfCQDJwAxk6leaQ+5qSwn9
fpaQJ1crp2r7W/DuvcDkEFopXhtCdBOfRqi/7ExkfpYKapnMwMq2IcyACmJHHVcCAwEAAaOCAsgw
ggLEMB8GA1UdIwQYMBaAFLOQp9jJr07NYTyffK1df0H9aTDqMB0GA1UdDgQWBBSRNlkNETdysrxo
EOpmQ9eON0SLOTAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0TAQH/BAIwADAdBgNVHSUEFjAUBggrBgEF
BQcDAQYIKwYBBQUHAwIwSwYDVR0gBEQwQjA2BgsrBgEEAbIxAQICGjAnMCUGCCsGAQUFBwIBFhlo
dHRwczovL2Nwcy51c2VydHJ1c3QuY29tMAgGBmeBDAECATBBBgNVHR8EOjA4MDagNKAyhjBodHRw
Oi8vY3JsLnVzZXJ0cnVzdC5jb20vR2FuZGlTdGFuZGFyZFNTTENBMi5jcmwwcwYIKwYBBQUHAQEE
ZzBlMDwGCCsGAQUFBzAChjBodHRwOi8vY3J0LnVzZXJ0cnVzdC5jb20vR2FuZGlTdGFuZGFyZFNT
TENBMi5jcnQwJQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnVzZXJ0cnVzdC5jb20wNwYDVR0RBDAw
LoITaW1hMmE1LW1vbC1pc2guc2l0ZYIXd3d3LmltYTJhNS1tb2wtaXNoLnNpdGUwggEFBgorBgEE
AdZ5AgQCBIH2BIHzAPEAdwAHt1wb5X1o//Gwxh0jFce65ld8V5S3au68YToaadOiHAAAAW5j5/l/
AAAEAwBIMEYCIQCwlI5VaJUfUAg3u9CT/Mlek42R/JDke2Yaf1UCqFyMBgIhANvdjPn/m9X6HKY/
spP0BlMWGM+tyxBtnbyEIrrJqjyzAHYAXqdz+d9WwOe1Nkh90EngMnqRmgyEoRIShBh1loFxRVgA
AAFuY+f5cAAABAMARzBFAiBjkW/8HrXqbBGU0pzSUF9dVRKCQ9yBIVWvJBU73EagYwIhAM0XBb7k
XkeMQneNP2GOR8be3DrmUY2pf9EgkaQhelQgMA0GCSqGSIb3DQEBCwUAA4IBAQA97gLu2Iw9QQ3+
q2TdKh4RqZ5GLtzxrOQV3xxRlnGqb81vxZFojVCrK02VQgNLX/2g3DhB/yN+YD3gliL4yz7apL+k
NiX+SLHxFOqEVqFcK8k74fEoLxL4adNoKoUEzniupZR0wa7ZHROnuYc+ZQ5LEYgQNCzMpPFmVx4L
OKcJnhmHjQJpIppz2RK1khGsVSXHL445o8vKXWUhsuGQXZKvd24G234jg0nEkARvHe6apD/nsYqT
oBEbMOblH/nKvOhBhNkk1HqK15wh29gO5a2bawzwz8WLWi61WFs0HgKu6fvAugbIq88mkFg/JYoy
LPxkPJg3syfr2tIHAjfYG2Xk
-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

Dans cette partie, il est question de sécuriser des données à l'aide d'un système de virtualisation de stockage, ici RAID5.

L'intérêt est de pouvoir créer une redondance des systèmes de stockage (physique mais aussi virtuelle) afin de prévenir d'une défaillance de l'un d'entre eux.

Ici on choisit le protocole '''RAID5''' ('''R'''edundant '''A'''rray of '''I'''ndependent '''D'''isks)

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

'''Commandes utiles'''

{| class="wikitable" style="text-align: center;width: 35%;margin: auto;"
! Description !! Commande
|-
! scope="row" style="width: 40%"|ID VLAN
|style="width: 60%"|4
|-
! scope="row" style="width: 40%"|Réseau IP V4
|style="width: 60%"|10.60.3.0/24
|-
! scope="row" style="width: 40%"|Réseau IP V6
|style="width: 60%"|2001:660:4401:60B3::/64
|-
! scope="row" style="width: 40%"|Nom de l'ordinateur portable
|style="width: 60%"|Requin
|-
! scope="row" style="width: 40%"|Repérage à l'étiqueteuse
|style="width: 60%"|IMA2A5
|-
! scope="row" style="width: 40%"|Numéro de poste
|style="width: 60%"|Zabeth03
|-
|}

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /mnt/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-29T11:47:29Z

Lmollet : /* Sécurisation de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
20191128 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

'''Commandes utiles'''

host -t any ima2a5-mol-ish.site
cat /var/log/daemon.log

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----
MIIDDzCCAfcCAQAwgZoxCzAJBgNVBAYTAkZSMQ0wCwYDVQQIDAROb3JkMQ4wDAYD
VQQHDAVMaWxsZTEXMBUGA1UECgwOUG9seXRlY2ggTGlsbGUxDDAKBgNVBAsMA0lN
QTEcMBoGA1UEAwwTaW1hMmE1LW1vbC1pc2guc2l0ZTEnMCUGCSqGSIb3DQEJARYY
aXNoY2h1a2F0ZXJpbmFAZ21haWwuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A
MIIBCgKCAQEA8gBDYek2H9/vYQUAh8OMq6K0In6BOd4HFTmnN2B5/h5SWU21U1vv
FCn6KV1484KPVP4XxIUBBg7giboXdcUEWuohakbjY4BHdCwOinZLFCDAn96LYIuL
5Ifnwk2+B+10kAHTOgUMjICkWPnhcr/2f1e2DkikYck2gMhEHtPtnzWlOKEMfI0W
IWBqnwjM8xnWlhbG3WlcuLjEi8K4wo8Qn8CGPWtO0qqTItxgGANzKp0+lZv2rdnV
a9wup+LoDI7GGZ8JAMnADGTqV5pD7mpLCf1+lpAnVyunavtb8O69wOQQWileG0J0
E59GqL/sTGR+lgpqmczAyrYhzIAKYkcdVwIDAQABoC8wFQYJKoZIhvcNAQkCMQgM
BkltYTJhNTAWBgkqhkiG9w0BCQcxCQwHcGFzZ2xvcDANBgkqhkiG9w0BAQsFAAOC
AQEAggN6DG6c1Ok+t7xplEikeYZKkyl2N9QxuCx48XCTxrRic7STYYB2Q3Q4j792
6CSg4vAx+4A3HFSUvt4hnr0F5QzIIgT3ajWAIPPCJ0KrRpLGXYK0h8TvF19+5ja1
5tJXrrl1ThT87LYIFkAhtkLai2Ep/Z7ENDquRqSZaf79/wXWPbMUodaSZIaGQoxO
U5sDvLTutdpd83lVWqbJ4Co1DpM3VD2z3ECe3dMZDcuTBCIfAXfVhcKzwsiBiyqJ
C/1lhGN7CC75B6PCYPIspSQKIe5V1J8BhxXycYbh35/O65zofOIwrMZU9rDmb0qA
bvFBGSD9A1TRtylxwMrOyTIHdw==
-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----
MIIF6TCCA9GgAwIBAgIQBeTcO5Q4qzuFl8umoZhQ4zANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV
BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTQw
OTEyMDAwMDAwWhcNMjQwOTExMjM1OTU5WjBfMQswCQYDVQQGEwJGUjEOMAwGA1UE
CBMFUGFyaXMxDjAMBgNVBAcTBVBhcmlzMQ4wDAYDVQQKEwVHYW5kaTEgMB4GA1UE
AxMXR2FuZGkgU3RhbmRhcmQgU1NMIENBIDIwggEiMA0GCSqGSIb3DQEBAQUAA4IB
DwAwggEKAoIBAQCUBC2meZV0/9UAPPWu2JSxKXzAjwsLibmCg5duNyj1ohrP0pIL
m6jTh5RzhBCf3DXLwi2SrCG5yzv8QMHBgyHwv/j2nPqcghDA0I5O5Q1MsJFckLSk
QFEW2uSEEi0FXKEfFxkkUap66uEHG4aNAXLy59SDIzme4OFMH2sio7QQZrDtgpbX
bmq08j+1QvzdirWrui0dOnWbMdw+naxb00ENbLAb9Tr1eeohovj0M1JLJC0epJmx
bUi8uBL+cnB89/sCdfSN3tbawKAyGlLfOGsuRTg/PwSWAP2h9KK71RfWJ3wbWFmV
XooS/ZyrgT5SKEhRhWvzkbKGPym1bgNi7tYFAgMBAAGjggF1MIIBcTAfBgNVHSME
GDAWgBRTeb9aqitKz1SA4dibwJ3ysgNmyzAdBgNVHQ4EFgQUs5Cn2MmvTs1hPJ98
rV1/Qf1pMOowDgYDVR0PAQH/BAQDAgGGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYD
VR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMCIGA1UdIAQbMBkwDQYLKwYBBAGy
MQECAhowCAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNl
cnRydXN0LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNy
bDB2BggrBgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRy
dXN0LmNvbS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZ
aHR0cDovL29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAWGf9
crJq13xhlhl+2UNG0SZ9yFP6ZrBrLafTqlb3OojQO3LJUP33WbKqaPWMcwO7lWUX
zi8c3ZgTopHJ7qFAbjyY1lzzsiI8Le4bpOHeICQW8owRc5E69vrOJAKHypPstLbI
FhfFcvwnQPYT/pOmnVHvPCvYd1ebjGU6NSU2t7WKY28HJ5OxYI2A25bUeo8tqxyI
yW5+1mUfr13KFj8oRtygNeX56eXVlogMT8a3d2dIhCe2H7Bo26y/d7CQuKLJHDJd
ArolQ4FCR7vY4Y8MDEZf7kYzawMUgtN+zY+vkNaOJH1AQrRqahfGlZfh8jjNp+20
J0CT33KpuMZmYzc4ZCIwojvxuch7yPspOqsactIGEk72gtQjbz7Dk+XYtsDe3CMW
1hMwt6CaDixVBgBwAc/qOR2A24j3pSC4W/0xJmmPLQphgzpHphNULB7j7UTKvGof
KA5R2d4On3XNDgOVyvnFqSot/kGkoUeuDcL5OWYzSlvhhChZbH2UF3bkRYKtcCD9
0m9jqNf6oDP6N8v3smWe2lBvP+Sn845dWDKXcCMu5/3EFZucJ48y7RetWIExKREa
m9T8bJUox04FB6b9HbwZ4ui3uRGKLXASUoWNjDNKD/yZkuBjcNqllEdjB+dYxzFf
BT02Vf6Dsuimrdfp5gJ0iHRc2jTbkNJtUQoj1iM=
-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

Dans cette partie, il est question de sécuriser des données à l'aide d'un système de virtualisation de stockage, ici RAID5.

L'intérêt est de pouvoir créer une redondance des systèmes de stockage (physique mais aussi virtuelle) afin de prévenir d'une défaillance de l'un d'entre eux.

Ici on choisit le protocole '''RAID5''' ('''R'''edundant '''A'''rray of '''I'''ndependent '''D'''isks)

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /mnt/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-29T11:41:38Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
20191128 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /mnt/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T12:15:25Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /dev/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup^close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T12:15:17Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]\n
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /dev/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup^close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T12:15:04Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]<cr>
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /dev/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup^close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T12:14:19Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----
MIIF6TCCA9GgAwIBAgIQBeTcO5Q4qzuFl8umoZhQ4zANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV
BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTQw
OTEyMDAwMDAwWhcNMjQwOTExMjM1OTU5WjBfMQswCQYDVQQGEwJGUjEOMAwGA1UE
CBMFUGFyaXMxDjAMBgNVBAcTBVBhcmlzMQ4wDAYDVQQKEwVHYW5kaTEgMB4GA1UE
AxMXR2FuZGkgU3RhbmRhcmQgU1NMIENBIDIwggEiMA0GCSqGSIb3DQEBAQUAA4IB
DwAwggEKAoIBAQCUBC2meZV0/9UAPPWu2JSxKXzAjwsLibmCg5duNyj1ohrP0pIL
m6jTh5RzhBCf3DXLwi2SrCG5yzv8QMHBgyHwv/j2nPqcghDA0I5O5Q1MsJFckLSk
QFEW2uSEEi0FXKEfFxkkUap66uEHG4aNAXLy59SDIzme4OFMH2sio7QQZrDtgpbX
bmq08j+1QvzdirWrui0dOnWbMdw+naxb00ENbLAb9Tr1eeohovj0M1JLJC0epJmx
bUi8uBL+cnB89/sCdfSN3tbawKAyGlLfOGsuRTg/PwSWAP2h9KK71RfWJ3wbWFmV
XooS/ZyrgT5SKEhRhWvzkbKGPym1bgNi7tYFAgMBAAGjggF1MIIBcTAfBgNVHSME
GDAWgBRTeb9aqitKz1SA4dibwJ3ysgNmyzAdBgNVHQ4EFgQUs5Cn2MmvTs1hPJ98
rV1/Qf1pMOowDgYDVR0PAQH/BAQDAgGGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYD
VR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMCIGA1UdIAQbMBkwDQYLKwYBBAGy
MQECAhowCAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNl
cnRydXN0LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNy
bDB2BggrBgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRy
dXN0LmNvbS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZ
aHR0cDovL29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAWGf9
crJq13xhlhl+2UNG0SZ9yFP6ZrBrLafTqlb3OojQO3LJUP33WbKqaPWMcwO7lWUX
zi8c3ZgTopHJ7qFAbjyY1lzzsiI8Le4bpOHeICQW8owRc5E69vrOJAKHypPstLbI
FhfFcvwnQPYT/pOmnVHvPCvYd1ebjGU6NSU2t7WKY28HJ5OxYI2A25bUeo8tqxyI
yW5+1mUfr13KFj8oRtygNeX56eXVlogMT8a3d2dIhCe2H7Bo26y/d7CQuKLJHDJd
ArolQ4FCR7vY4Y8MDEZf7kYzawMUgtN+zY+vkNaOJH1AQrRqahfGlZfh8jjNp+20
J0CT33KpuMZmYzc4ZCIwojvxuch7yPspOqsactIGEk72gtQjbz7Dk+XYtsDe3CMW
1hMwt6CaDixVBgBwAc/qOR2A24j3pSC4W/0xJmmPLQphgzpHphNULB7j7UTKvGof
KA5R2d4On3XNDgOVyvnFqSot/kGkoUeuDcL5OWYzSlvhhChZbH2UF3bkRYKtcCD9
0m9jqNf6oDP6N8v3smWe2lBvP+Sn845dWDKXcCMu5/3EFZucJ48y7RetWIExKREa
m9T8bJUox04FB6b9HbwZ4ui3uRGKLXASUoWNjDNKD/yZkuBjcNqllEdjB+dYxzFf
BT02Vf6Dsuimrdfp5gJ0iHRc2jTbkNJtUQoj1iM=
-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===
'''Références utilisées :'''

[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]
[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]
[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /dev/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup^close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T12:13:29Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===
'''Références utilisées :'''

[[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]]
[[https://doc.ubuntu-fr.org/cryptsetup Partition chiffrée avec Cryptsetup Doc Ubuntu]]
[[https://linux-note.com/commande-fdisk-suppression-de-partitions/ Commande : fdisk – suppression de partitions]]

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /dev/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup^close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T12:11:58Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===
'''Références utilisées :'''

[[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]]

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /dev/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup^close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T12:11:38Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----
MIIGETCCBPmgAwIBAgIQQD7X5S+/F3WTOPPJuYTgrzANBgkqhkiG9w0BAQsFADBfMQswCQYDVQQG
EwJGUjEOMAwGA1UECBMFUGFyaXMxDjAMBgNVBAcTBVBhcmlzMQ4wDAYDVQQKEwVHYW5kaTEgMB4G
A1UEAxMXR2FuZGkgU3RhbmRhcmQgU1NMIENBIDIwHhcNMTkxMTEzMDAwMDAwWhcNMjAxMTEzMjM1
OTU5WjBeMSEwHwYDVQQLExhEb21haW4gQ29udHJvbCBWYWxpZGF0ZWQxGzAZBgNVBAsTEkdhbmRp
IFN0YW5kYXJkIFNTTDEcMBoGA1UEAxMTaW1hMmE1LW1vbC1pc2guc2l0ZTCCASIwDQYJKoZIhvcN
AQEBBQADggEPADCCAQoCggEBAPIAQ2HpNh/f72EFAIfDjKuitCJ+gTneBxU5pzdgef4eUllNtVNb
7xQp+ildePOCj1T+F8SFAQYO4Im6F3XFBFrqIWpG42OAR3QsDop2SxQgwJ/ei2CLi+SH58JNvgft
dJAB0zoFDIyApFj54XK/9n9Xtg5IpGHJNoDIRB7T7Z81pTihDHyNFiFgap8IzPMZ1pYWxt1pXLi4
xIvCuMKPEJ/Ahj1rTtKqkyLcYBgDcyqdPpWb9q3Z1WvcLqfi6AyOxhmfCQDJwAxk6leaQ+5qSwn9
fpaQJ1crp2r7W/DuvcDkEFopXhtCdBOfRqi/7ExkfpYKapnMwMq2IcyACmJHHVcCAwEAAaOCAsgw
ggLEMB8GA1UdIwQYMBaAFLOQp9jJr07NYTyffK1df0H9aTDqMB0GA1UdDgQWBBSRNlkNETdysrxo
EOpmQ9eON0SLOTAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0TAQH/BAIwADAdBgNVHSUEFjAUBggrBgEF
BQcDAQYIKwYBBQUHAwIwSwYDVR0gBEQwQjA2BgsrBgEEAbIxAQICGjAnMCUGCCsGAQUFBwIBFhlo
dHRwczovL2Nwcy51c2VydHJ1c3QuY29tMAgGBmeBDAECATBBBgNVHR8EOjA4MDagNKAyhjBodHRw
Oi8vY3JsLnVzZXJ0cnVzdC5jb20vR2FuZGlTdGFuZGFyZFNTTENBMi5jcmwwcwYIKwYBBQUHAQEE
ZzBlMDwGCCsGAQUFBzAChjBodHRwOi8vY3J0LnVzZXJ0cnVzdC5jb20vR2FuZGlTdGFuZGFyZFNT
TENBMi5jcnQwJQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnVzZXJ0cnVzdC5jb20wNwYDVR0RBDAw
LoITaW1hMmE1LW1vbC1pc2guc2l0ZYIXd3d3LmltYTJhNS1tb2wtaXNoLnNpdGUwggEFBgorBgEE
AdZ5AgQCBIH2BIHzAPEAdwAHt1wb5X1o//Gwxh0jFce65ld8V5S3au68YToaadOiHAAAAW5j5/l/
AAAEAwBIMEYCIQCwlI5VaJUfUAg3u9CT/Mlek42R/JDke2Yaf1UCqFyMBgIhANvdjPn/m9X6HKY/
spP0BlMWGM+tyxBtnbyEIrrJqjyzAHYAXqdz+d9WwOe1Nkh90EngMnqRmgyEoRIShBh1loFxRVgA
AAFuY+f5cAAABAMARzBFAiBjkW/8HrXqbBGU0pzSUF9dVRKCQ9yBIVWvJBU73EagYwIhAM0XBb7k
XkeMQneNP2GOR8be3DrmUY2pf9EgkaQhelQgMA0GCSqGSIb3DQEBCwUAA4IBAQA97gLu2Iw9QQ3+
q2TdKh4RqZ5GLtzxrOQV3xxRlnGqb81vxZFojVCrK02VQgNLX/2g3DhB/yN+YD3gliL4yz7apL+k
NiX+SLHxFOqEVqFcK8k74fEoLxL4adNoKoUEzniupZR0wa7ZHROnuYc+ZQ5LEYgQNCzMpPFmVx4L
OKcJnhmHjQJpIppz2RK1khGsVSXHL445o8vKXWUhsuGQXZKvd24G234jg0nEkARvHe6apD/nsYqT
oBEbMOblH/nKvOhBhNkk1HqK15wh29gO5a2bawzwz8WLWi61WFs0HgKu6fvAugbIq88mkFg/JYoy
LPxkPJg3syfr2tIHAjfYG2Xk
-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===
Références utilisées [[https://geekyshacklebolt.wordpress.com/2019/03/06/how-to-encrypt-usb-drives-with-luks/ How to encrypt USB drives with LUKS]]

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /dev/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup^close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T12:10:36Z

Lmollet : /* Intrusion par changement d'adresse MAC */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne
ou https://dnssec-analyzer.verisignlabs.com/ima2a5-mol-ish.site

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .scr => qui a été transmis à Gandi pour créer SSL certificate

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

la clé .key => clé privé et reste sur machine virtuel

Retour de Gandi et de notre cetificat (.pem) => Intermediate => pour le navigateur (pour vérfier l'hiérarchie)

-----BEGIN CERTIFICATE-----
MIIF6TCCA9GgAwIBAgIQBeTcO5Q4qzuFl8umoZhQ4zANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV
BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTQw
OTEyMDAwMDAwWhcNMjQwOTExMjM1OTU5WjBfMQswCQYDVQQGEwJGUjEOMAwGA1UE
CBMFUGFyaXMxDjAMBgNVBAcTBVBhcmlzMQ4wDAYDVQQKEwVHYW5kaTEgMB4GA1UE
AxMXR2FuZGkgU3RhbmRhcmQgU1NMIENBIDIwggEiMA0GCSqGSIb3DQEBAQUAA4IB
DwAwggEKAoIBAQCUBC2meZV0/9UAPPWu2JSxKXzAjwsLibmCg5duNyj1ohrP0pIL
m6jTh5RzhBCf3DXLwi2SrCG5yzv8QMHBgyHwv/j2nPqcghDA0I5O5Q1MsJFckLSk
QFEW2uSEEi0FXKEfFxkkUap66uEHG4aNAXLy59SDIzme4OFMH2sio7QQZrDtgpbX
bmq08j+1QvzdirWrui0dOnWbMdw+naxb00ENbLAb9Tr1eeohovj0M1JLJC0epJmx
bUi8uBL+cnB89/sCdfSN3tbawKAyGlLfOGsuRTg/PwSWAP2h9KK71RfWJ3wbWFmV
XooS/ZyrgT5SKEhRhWvzkbKGPym1bgNi7tYFAgMBAAGjggF1MIIBcTAfBgNVHSME
GDAWgBRTeb9aqitKz1SA4dibwJ3ysgNmyzAdBgNVHQ4EFgQUs5Cn2MmvTs1hPJ98
rV1/Qf1pMOowDgYDVR0PAQH/BAQDAgGGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYD
VR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMCIGA1UdIAQbMBkwDQYLKwYBBAGy
MQECAhowCAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNl
cnRydXN0LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNy
bDB2BggrBgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRy
dXN0LmNvbS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZ
aHR0cDovL29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAWGf9
crJq13xhlhl+2UNG0SZ9yFP6ZrBrLafTqlb3OojQO3LJUP33WbKqaPWMcwO7lWUX
zi8c3ZgTopHJ7qFAbjyY1lzzsiI8Le4bpOHeICQW8owRc5E69vrOJAKHypPstLbI
FhfFcvwnQPYT/pOmnVHvPCvYd1ebjGU6NSU2t7WKY28HJ5OxYI2A25bUeo8tqxyI
yW5+1mUfr13KFj8oRtygNeX56eXVlogMT8a3d2dIhCe2H7Bo26y/d7CQuKLJHDJd
ArolQ4FCR7vY4Y8MDEZf7kYzawMUgtN+zY+vkNaOJH1AQrRqahfGlZfh8jjNp+20
J0CT33KpuMZmYzc4ZCIwojvxuch7yPspOqsactIGEk72gtQjbz7Dk+XYtsDe3CMW
1hMwt6CaDixVBgBwAc/qOR2A24j3pSC4W/0xJmmPLQphgzpHphNULB7j7UTKvGof
KA5R2d4On3XNDgOVyvnFqSot/kGkoUeuDcL5OWYzSlvhhChZbH2UF3bkRYKtcCD9
0m9jqNf6oDP6N8v3smWe2lBvP+Sn845dWDKXcCMu5/3EFZucJ48y7RetWIExKREa
m9T8bJUox04FB6b9HbwZ4ui3uRGKLXASUoWNjDNKD/yZkuBjcNqllEdjB+dYxzFf
BT02Vf6Dsuimrdfp5gJ0iHRc2jTbkNJtUQoj1iM=
-----END CERTIFICATE-----

Certificat .crt => certificat général et lié avec .key & .csr

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Pour vérifier que les clés .key & .csr & .crt sont liés on doit calculer le modulus

openssl rsa -noout -modulus -in ima2a5-mol-ish.site.key
openssl req -noout -modulus -in ima2a5-mol-ish.site.csr
openssl x509 -noout -modulus -in ima2a5-mol-ish.site.crt

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===<s>Intrusion par changement d'adresse MAC</s>===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /dev/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup^close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T11:43:33Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .csr (qui a été transmis à Gandi)

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Retour de Gandi et de notre cetificat (.pem)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===Intrusion par changement d'adresse MAC===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /dev/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup^close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.
Cependant, il mettait impossible de l'ouvrir à cause d'un souci de version. La clé sur laquelle j'ai chiffré était en version 2.1.0 alors que mes collègues étaient en version 1.7.3.
Du coup, leur machine ne voulait pas l'ouvrir à cause d'une version trop récente.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T11:39:12Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .csr (qui a été transmis à Gandi)

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Retour de Gandi et de notre cetificat (.pem)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===Intrusion par changement d'adresse MAC===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

'''Démontage physique du périphérique'''

Il faut d'abord démonter le périphérique

umount /dev/cle_usb

'''Fermeture sécurisée du périphérique'''

cryptsetup^close --type luks home

'''Phases de tests du chiffrage'''

Pour tester le chiffrage de la clé, on essaye sur un autre eeePC son ouverture.

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T11:31:39Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .csr (qui a été transmis à Gandi)

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Retour de Gandi et de notre cetificat (.pem)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt

-----BEGIN CERTIFICATE-----
MIIGETCCBPmgAwIBAgIQQD7X5S+/F3WTOPPJuYTgrzANBgkqhkiG9w0BAQsFADBfMQswCQYDVQQG
EwJGUjEOMAwGA1UECBMFUGFyaXMxDjAMBgNVBAcTBVBhcmlzMQ4wDAYDVQQKEwVHYW5kaTEgMB4G
A1UEAxMXR2FuZGkgU3RhbmRhcmQgU1NMIENBIDIwHhcNMTkxMTEzMDAwMDAwWhcNMjAxMTEzMjM1
OTU5WjBeMSEwHwYDVQQLExhEb21haW4gQ29udHJvbCBWYWxpZGF0ZWQxGzAZBgNVBAsTEkdhbmRp
IFN0YW5kYXJkIFNTTDEcMBoGA1UEAxMTaW1hMmE1LW1vbC1pc2guc2l0ZTCCASIwDQYJKoZIhvcN
AQEBBQADggEPADCCAQoCggEBAPIAQ2HpNh/f72EFAIfDjKuitCJ+gTneBxU5pzdgef4eUllNtVNb
7xQp+ildePOCj1T+F8SFAQYO4Im6F3XFBFrqIWpG42OAR3QsDop2SxQgwJ/ei2CLi+SH58JNvgft
dJAB0zoFDIyApFj54XK/9n9Xtg5IpGHJNoDIRB7T7Z81pTihDHyNFiFgap8IzPMZ1pYWxt1pXLi4
xIvCuMKPEJ/Ahj1rTtKqkyLcYBgDcyqdPpWb9q3Z1WvcLqfi6AyOxhmfCQDJwAxk6leaQ+5qSwn9
fpaQJ1crp2r7W/DuvcDkEFopXhtCdBOfRqi/7ExkfpYKapnMwMq2IcyACmJHHVcCAwEAAaOCAsgw
ggLEMB8GA1UdIwQYMBaAFLOQp9jJr07NYTyffK1df0H9aTDqMB0GA1UdDgQWBBSRNlkNETdysrxo
EOpmQ9eON0SLOTAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0TAQH/BAIwADAdBgNVHSUEFjAUBggrBgEF
BQcDAQYIKwYBBQUHAwIwSwYDVR0gBEQwQjA2BgsrBgEEAbIxAQICGjAnMCUGCCsGAQUFBwIBFhlo
dHRwczovL2Nwcy51c2VydHJ1c3QuY29tMAgGBmeBDAECATBBBgNVHR8EOjA4MDagNKAyhjBodHRw
Oi8vY3JsLnVzZXJ0cnVzdC5jb20vR2FuZGlTdGFuZGFyZFNTTENBMi5jcmwwcwYIKwYBBQUHAQEE
ZzBlMDwGCCsGAQUFBzAChjBodHRwOi8vY3J0LnVzZXJ0cnVzdC5jb20vR2FuZGlTdGFuZGFyZFNT
TENBMi5jcnQwJQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnVzZXJ0cnVzdC5jb20wNwYDVR0RBDAw
LoITaW1hMmE1LW1vbC1pc2guc2l0ZYIXd3d3LmltYTJhNS1tb2wtaXNoLnNpdGUwggEFBgorBgEE
AdZ5AgQCBIH2BIHzAPEAdwAHt1wb5X1o//Gwxh0jFce65ld8V5S3au68YToaadOiHAAAAW5j5/l/
AAAEAwBIMEYCIQCwlI5VaJUfUAg3u9CT/Mlek42R/JDke2Yaf1UCqFyMBgIhANvdjPn/m9X6HKY/
spP0BlMWGM+tyxBtnbyEIrrJqjyzAHYAXqdz+d9WwOe1Nkh90EngMnqRmgyEoRIShBh1loFxRVgA
AAFuY+f5cAAABAMARzBFAiBjkW/8HrXqbBGU0pzSUF9dVRKCQ9yBIVWvJBU73EagYwIhAM0XBb7k
XkeMQneNP2GOR8be3DrmUY2pf9EgkaQhelQgMA0GCSqGSIb3DQEBCwUAA4IBAQA97gLu2Iw9QQ3+
q2TdKh4RqZ5GLtzxrOQV3xxRlnGqb81vxZFojVCrK02VQgNLX/2g3DhB/yN+YD3gliL4yz7apL+k
NiX+SLHxFOqEVqFcK8k74fEoLxL4adNoKoUEzniupZR0wa7ZHROnuYc+ZQ5LEYgQNCzMpPFmVx4L
OKcJnhmHjQJpIppz2RK1khGsVSXHL445o8vKXWUhsuGQXZKvd24G234jg0nEkARvHe6apD/nsYqT
oBEbMOblH/nKvOhBhNkk1HqK15wh29gO5a2bawzwz8WLWi61WFs0HgKu6fvAugbIq88mkFg/JYoy
LPxkPJg3syfr2tIHAjfYG2Xk
-----END CERTIFICATE-----

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===Intrusion par changement d'adresse MAC===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

'''Chiffrage du périphérique'''

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

'''Ouverture sécurisé du périphérique'''

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

'''Création du système de fichiers'''

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

'''Montage du périphérique'''

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T11:30:55Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .csr (qui a été transmis à Gandi)

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Retour de Gandi et de notre cetificat (.pem)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===Intrusion par changement d'adresse MAC===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

Chiffrage du périphérique

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

[[Ouverture sécurisé du périphérique]]

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

[[Création du système de fichiers]]

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

[[Montage du périphérique]]

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T11:29:08Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

===Configuration SSH===

Après avoir installé openssh, on configure le fichier /etc/ssh/sshd_config

# Authentication:
#LoginGraceTime 2m
PermitRootLogin yes <= CHANGE
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes <= CHANGE
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication yes <= CHANGE
#PermitEmptyPasswords no

Puis on faire un restart : '''service ssh restart'''

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .csr (qui a été transmis à Gandi)

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Retour de Gandi et de notre cetificat (.pem)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat .crt

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===Intrusion par changement d'adresse MAC===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

[[Chiffrage du périphérique]]

On va maintenant chiffrer la clé à l'aide de '''encryptsetup'''.

cryptsetup luksFormat -c aes -h sha256 /dev/sda1

Cette commande va chiffrer la clé en AES (Advanced Encryption Standard) avec un hashage 256.

On ajoute un mot de passe habituel à la formation IMA2A.

[[Ouverture sécurisé du périphérique]]

On l'ouvre avec la commande actualisée suivante

cryptsetup open --type luks /dev/sda1 home

[[Création du système de fichiers]]

On créé un système de fichier sur la machine EXT4 file system :

mkfs.ext4 /dev/mapper/home

[[Montage du périphérique]]

Et ensuite on monte le périphérique avec la commande suivante, au prélable on aura créé un dossier dans '''/mnt/'''

mount -t ext4 /dev/mapper/home /mnt/cle_usb

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T11:18:39Z

Lmollet : /* Cryptage de données */

Ekaterina ISHCHUK & Loick MOLLET

==Introduction==

==Installation des systèmes d'exploitation==

===Configuration Zabeth05===

Pour configurer Zabeth05 à reenvoyer eth1 à eth0 nous ajoutons:

iface bridge inet dhcp
bridge_ports eth0, eth1
bridge_hw 172.26.145.55 # adresse de Zabeth05

===Installation d'une machien virtuelle Xen===

D'abord on connect sur la machine

cordouan.insecserv.deule.net

Puis, pour créer une machine virtuelle, on lance la commande ci-dessous:

xen-create-image --hostname=ima2a5-mol-ish --dhcp --dir=/usr/local/xen --dist=ascii --apt_proxy=http://proxy.polytech-lille.fr:3128 --mirror=http://fr.deb.devuan.org/merged/ --force

Pour observer le processus d'installation pas à pas, il faut lancer un deuxième terminal et taper:

tail -f /var/log/xen-tools/ima2a5-mol-ish.log

Dès que l'installation est finie, le résultat;

Installation Summary
---------------------
Hostname : ima2a5-mol-ish
Distribution : ascii
MAC Address : 00:16:3E:2F:02:1D
IP Address(es) : dynamic
SSH Fingerprint : SHA256:kDLhqDm3Aqt2sIPrhCoFhRGyk4yY3H7VS6KCAO/4Qf0 (DSA)
SSH Fingerprint : SHA256:xfQpYfkg1fRXYaVDnDMuT+XTSCh2BgaSmcnF+etOjxc (ECDSA)
SSH Fingerprint : SHA256:U2hWpq2wPg16SOpZp9dE6fyY/21PHGAG2fBNz10P4DM (ED25519)
SSH Fingerprint : SHA256:YXQFkzNUymvUMMgvypJ73REhRb6RbTjs6FrWiuKXQso (RSA)
Root Password : M9zWc6KYtykXkSC8w8qJ9Ze

On change le mot de passe à "glopglop" avec la commande:

passwd

Ensuite on doit modifier la configuration "/etc/xen/ima2a5-mol-ish.cfg"

vif = ['mac=00:16:3E:2F:02:1D, bridge=IMA2a5']

Maintenant on peut créer le domaine et lancer la machine:

xl create ima2a5-mol-ish.cfg
xl console ima2a5-mol-ish

Pour créer des volumes on passe des commandes suivantes :

lvcreate -L10G -n im2a5-mol-ish-home virtual
lvcreate -L10G -n im2a6-mol-ish-var virtual

Egalement le système des fichiers:

mke2fs /dev/virtual/im2a5-mol-ish-home
mke2fs /dev/virtual/im2a5-mol-ish-var

Après on doit modifier le fichier "/etc/xen/ima2a5-mol-ish.cfg" en ajoutant les lignes suivantes:

disk = [...., 'phy:/dev/virtual/im2a5-mol-ish-home,xvdb1,w',
'phy:/dev/virtual/im2a5-mol-ish-var,xvdb2,w',]

Maintenant on peut accéder à notre machine virtuelle

xl console ima2a5-mol-ish

Cette commande nous permet de logger root / glopglop

On vérifie si les volumes sont bien installés:

fdisk -l

Problème recontré : les volumes n'étaient pas pris en compte. Il fallait détruire la machine par "xl destroy " et puis relancer la création de la machine.

Pour appliquer des volumes avec chaque démarrage, on modifie le fichier "/etc/fstab" de la machine. On ajoute à la fin de fichier :

/dev/xvdb1 /home ext4 defaults 0 2
# /dev/xvdb2 /var ext4 defaults 0 2

Il faut bien comment la ligne de /var car les manupulation avec ce dossier avant le montage peuvent provoquer des problèmes, que nous avons rencontrés.
En tapant "ls /home" on retrouve bien "last+found" = le système des fichiers

Pour assurer le système des fichiers pour /var, on possède au montage:

mount /dev/xvdb2 /mnt
mv /var/* /mnt
umount /mnt
mount -a

Maintenante on peut decommenter la ligne de '/var' dans le fichier "/etc/fstab":

/dev/xvdb2 /var ext4 defaults 0 2

Après ces instructions on vérifie bien par "df":

root@ima2a5-mol-ish:/etc/network# df
Filesystem 1K-blocks Used Available Use% Mounted on
udev 109076 0 109076 0% /dev
tmpfs 24528 76 24452 1% /run
/dev/xvda2 4062912 406352 3430464 11% /
tmpfs 5120 0 5120 0% /run/lock
tmpfs 153900 0 153900 0% /run/shm
/dev/xvdb1 10321208 23028 9773892 1% /home
/dev/xvdb2 10321208 156552 9640368 2% /var

Configuration du réseau via /etc/network/interfaces:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 193.48.57.162
netmask 255.255.255.240
gateway 193.48.57.172

Maintenant on peut accéder aux autres machines virtuels connectés sur le bridge IMA2a5 :

root@ima2a5-mol-ish:~# ping 193.48.57.163
PING 193.48.57.163 (193.48.57.163) 56(84) bytes of data.
64 bytes from 193.48.57.163: icmp_seq=1 ttl=64 time=0.350 ms
64 bytes from 193.48.57.163: icmp_seq=2 ttl=64 time=0.304 ms
64 bytes from 193.48.57.163: icmp_seq=3 ttl=64 time=0.327 ms

Dès que la machien est connectée vers le réseau et possède l'accès Internet, on peut procéder l'installation de SSH, apache and bind

apt-get install openssh-server
apt-get install apache2
apt-get install bind9

==Services internet==

===Site internet, configuration et sécurisation===

Pour héberger le site avec un nom de domaine, on achète un nom de domaine "ima2a5-mol-ish.site" sur gandi.net
Premièrement, nous achetons un certificat SSL.
Deuxièmement, il faut configurer les "nameservers" : au lieu d'avoir des serveurs proposés, on ajoute:

dns.ima2a5-mol-ish.site '''193.48.57.162'''
ns6.gandi.net '''217.70.177.40'''

Cela va prendre un peu de temps. Vérifier des changements on peut avec https://dnslookup.fr/ima2a5-mol-ish.site

===Sécurisation par DNSSEC===

Pour sécuriser le server en DNSSEC il faut d'abord générer deux paires des clés : ZSK et KSK formats

cd /etc/bind
mkdir ima2a5-mol-ish.site.dnssec
cd ima2a5-mol-ish.site.dnssec
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 2048 -f KSK -n ZONE ima2a5-mol-ish.site
dnssec-keygen -r /dev/urandom -a RSASHA1 -b 1024 -n ZONE ima2a5-mol-ish.site

Les clés générés on renome:

mv Kima2a5-mol-ish.site.+005+42049.key ima2a5-mol-ish.site-ksk.key
mv Kima2a5-mol-ish.site.+005+42049.private ima2a5-mol-ish.site-ksk.private
mv Kima2a5-mol-ish.site.+005+56373.key ima2a5-mol-ish.site-zsk.key
mv Kima2a5-mol-ish.site.+005+56373.private ima2a5-mol-ish.site-zsk.private

Puis on peut créer le fichier de configuration dans /etc/bind/ima2a5-mol-ish.site

$TTL 259200

$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk.key
$include /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk.key

@ IN SOA dns.ima2a5-mol-ish.site. root@ima2a5-mol-ish.site. (
42 ; Version
7200 ; Refresh (2h)
3600 ; Retry (1h)
1209600 ; Expire (14j)
7200 ; Minimum TTL (2j)
)
@ IN NS dns.ima2a5-mol-ish.site. #dns ima
@ IN NS ns6.gandi.net. #dns gandi
www IN A 193.48.57.162 #@IP website ima2a-mol-ish
dns IN A 193.48.57.162

Pour que nos modification soient prise en compte nos devons donc signer notre fichier de configuration:

dnssec-signzone -o ima2a5-mol-ish.site -k /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-ksk ima2a5-mol-ish.site /etc/bind/ima2a5-mol-ish.site.dnssec/ima2a5-mol-ish.site-zsk

Cela nous génére le fichier ima2a5-mol-ish.site.signed. Il faut le rajouter dans la configuration named.conf.local :

root@ima2a5-mol-ish:/etc/bind# cat named.conf.local
zone "ima2a5-mol-ish.site" {
type master;
file "/etc/bind/ima2a5-mol-ish.site.signed"
};

On modifie également notre fichier named.conf.options afin d'activer le DNSSEC

root@ima2a5-mol-ish:/etc/bind# cat named.conf.options
options {
directory "/var/cache/bind";
dnssec-validation auto;
dnssec-enable yes;
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
allow-transfer {"allowed_to_transfer";}
};
acl "allowed_to_transfer" {
217.70.177.40/32
};

Maintenant des clés publics on rajoute à DNSSEC section de Gandi.
Il faut ajouté la partie qui commence par Aw...

root@ima2a5-mol-ish:/etc/bind/ima2a5-mol-ish.site.dnssec# cat ima2a5-mol-ish.site-zsk.key
; This is a zone-signing key, keyid 56373, for ima2a5-mol-ish.site.
; Created: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Publish: 20191113100104 (Wed Nov 13 10:01:04 2019)
; Activate: 20191113100104 (Wed Nov 13 10:01:04 2019)
ima2a5-mol-ish.site. IN DNSKEY 256 3 5 AwEAAcCC4sxci7Fep2Djz7oQZY0YxyZlsZyzyEybco91JISIi/Ra8vS2 HBaxqVPSzoIze66PmNW0LeRN6EpEAnstFf6YPncy10UYnw5BYVO/pYyB qMdfNcukAhcFQl4lxg6AAmCJV9p+fxZtH2fVVDgo8dtdoglxdcivpuZ6 X/6yRFOh

Pour appliquer les changement on faire un restart de bind9 :

service bind9 restart
bind9 is not running ... failed!

Pour voir des logs et detecter l'erreur:

root@ima2a5-mol-ish:/etc/bind# named -d 2 -g
------
13-Nov-2019 10:45:13.493 loading configuration from '/etc/bind/named.conf'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:27: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.options:31: missing ';' before '}'
13-Nov-2019 10:45:13.493 /etc/bind/named.conf.local:8: missing ';' before '}'

On corrige des problèmes, fait un restart:

root@ima2a5-mol-ish:/etc/bind# service bind9 restart
Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused.
Starting domain name service...: bind9.

Avec l'outil https://dnsviz.net/d/ima2a5-mol-ish.site/dnssec/ on peut générer la chaîne

Vérfifier DNS : https://dnslookup.fr/ima2a5-mol-ish.site

===Génération des clés===

Pour obtenir un certificat SSl, on possède le processus sur Gandi.net.

'''Création des clés .key et .csr'''

Pour créer des clés on utilise OpenSSl, dans le répértoire '''/etc/apache2/certificates'''

openssl req -nodes -newkey rsa:2048 -sha256 -keyout ima2a5-mol-ish.key -out ima2a5-mol-ish.csr

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Nord
Locality Name (eg, city) []:Lille
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Polytech Lille
Organizational Unit Name (eg, section) []:IMA2A5
Common Name (e.g. server FQDN or YOUR name) []:ima2a5-mol-ish.site
Email Address []:ekaterina.ishchuk@polytech-lille.fr
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:glopglop
An optional company name []:

Il faudra attendre pour que les changements seront appliqués.

La clé .csr (qui a été transmis à Gandi)

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Retour de Gandi et de notre cetificat (.pem)

-----BEGIN CERTIFICATE-----
MIIF6TCCA9GgAwIBAgIQBeTcO5Q4qzuFl8umoZhQ4zANBgkqhkiG9w0BAQwFADCB
iDELMAkGA1UEBhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0pl
cnNleSBDaXR5MR4wHAYDVQQKExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNV
BAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTQw
OTEyMDAwMDAwWhcNMjQwOTExMjM1OTU5WjBfMQswCQYDVQQGEwJGUjEOMAwGA1UE
CBMFUGFyaXMxDjAMBgNVBAcTBVBhcmlzMQ4wDAYDVQQKEwVHYW5kaTEgMB4GA1UE
AxMXR2FuZGkgU3RhbmRhcmQgU1NMIENBIDIwggEiMA0GCSqGSIb3DQEBAQUAA4IB
DwAwggEKAoIBAQCUBC2meZV0/9UAPPWu2JSxKXzAjwsLibmCg5duNyj1ohrP0pIL
m6jTh5RzhBCf3DXLwi2SrCG5yzv8QMHBgyHwv/j2nPqcghDA0I5O5Q1MsJFckLSk
QFEW2uSEEi0FXKEfFxkkUap66uEHG4aNAXLy59SDIzme4OFMH2sio7QQZrDtgpbX
bmq08j+1QvzdirWrui0dOnWbMdw+naxb00ENbLAb9Tr1eeohovj0M1JLJC0epJmx
bUi8uBL+cnB89/sCdfSN3tbawKAyGlLfOGsuRTg/PwSWAP2h9KK71RfWJ3wbWFmV
XooS/ZyrgT5SKEhRhWvzkbKGPym1bgNi7tYFAgMBAAGjggF1MIIBcTAfBgNVHSME
GDAWgBRTeb9aqitKz1SA4dibwJ3ysgNmyzAdBgNVHQ4EFgQUs5Cn2MmvTs1hPJ98
rV1/Qf1pMOowDgYDVR0PAQH/BAQDAgGGMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYD
VR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMCIGA1UdIAQbMBkwDQYLKwYBBAGy
MQECAhowCAYGZ4EMAQIBMFAGA1UdHwRJMEcwRaBDoEGGP2h0dHA6Ly9jcmwudXNl
cnRydXN0LmNvbS9VU0VSVHJ1c3RSU0FDZXJ0aWZpY2F0aW9uQXV0aG9yaXR5LmNy
bDB2BggrBgEFBQcBAQRqMGgwPwYIKwYBBQUHMAKGM2h0dHA6Ly9jcnQudXNlcnRy
dXN0LmNvbS9VU0VSVHJ1c3RSU0FBZGRUcnVzdENBLmNydDAlBggrBgEFBQcwAYYZ
aHR0cDovL29jc3AudXNlcnRydXN0LmNvbTANBgkqhkiG9w0BAQwFAAOCAgEAWGf9
crJq13xhlhl+2UNG0SZ9yFP6ZrBrLafTqlb3OojQO3LJUP33WbKqaPWMcwO7lWUX
zi8c3ZgTopHJ7qFAbjyY1lzzsiI8Le4bpOHeICQW8owRc5E69vrOJAKHypPstLbI
FhfFcvwnQPYT/pOmnVHvPCvYd1ebjGU6NSU2t7WKY28HJ5OxYI2A25bUeo8tqxyI
yW5+1mUfr13KFj8oRtygNeX56eXVlogMT8a3d2dIhCe2H7Bo26y/d7CQuKLJHDJd
ArolQ4FCR7vY4Y8MDEZf7kYzawMUgtN+zY+vkNaOJH1AQrRqahfGlZfh8jjNp+20
J0CT33KpuMZmYzc4ZCIwojvxuch7yPspOqsactIGEk72gtQjbz7Dk+XYtsDe3CMW
1hMwt6CaDixVBgBwAc/qOR2A24j3pSC4W/0xJmmPLQphgzpHphNULB7j7UTKvGof
KA5R2d4On3XNDgOVyvnFqSot/kGkoUeuDcL5OWYzSlvhhChZbH2UF3bkRYKtcCD9
0m9jqNf6oDP6N8v3smWe2lBvP+Sn845dWDKXcCMu5/3EFZucJ48y7RetWIExKREa
m9T8bJUox04FB6b9HbwZ4ui3uRGKLXASUoWNjDNKD/yZkuBjcNqllEdjB+dYxzFf
BT02Vf6Dsuimrdfp5gJ0iHRc2jTbkNJtUQoj1iM=
-----END CERTIFICATE-----

Certificat .crt

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

===Paramétrage d'Apache2 avec la gestion du https===

Le paramétrage d'Apache peut se faire à l'aide du wiki d'ubuntu ([configuration d'Apache https://doc.ubuntu-fr.org/apache2])

Serveur web http

On ajoute un fichier ima2a5-mol-ish de configuration dans le répertoire : '''/etc/apache2/sites-available'''

<VirtualHost *:80>
ServerName ima2a5-mol-ish.site
ServerAlias www.ima2a5-mol-ish.site
DocumentRoot "/var/www/ima2a5-mol-ish"
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog /var/log/apache2/ima2a5-mol-ish.log
CustomLog /var/log/apache2/ima2a5-mol-ish.log combined
</VirtualHost>

Au prélable, on aura créé un dossier contenant la page html à afficher dans le répertoire '''/var/www/ima2a5-mol-ish'''

Serveur web https

On active le module SSL avec la commande :

a2enmod ssl
service apache2 restart

'''Vérification de l'écoute de port 443'''

On s'assure que le port 443 est déjà à l'écoute par le serveur apache via la commande netstat -tanpu |grep "LISTEN" |grep "443"

tcp6 0 0 :::443 :::* LISTEN 1382/apache2

Puis on peut passer à la configuration de '''HTTPS''' d'apache

===Configuration HTTPS===

On configure VirtualHost Apache pour le port 443 dans le fichier "ima2a5-mol-ish.site-ssl.conf la configuration didiée au port sécurisé HTTPS:

<VirtualHost *:443>
ServerName ima2a5-mol-ish.site:443
DocumentRoot "/var/www/ima2a5-mol-ish"
ServerAdmin ekaterina.ishchuk@polytech-lille.net
<Directory "/var/www/ima2a5-mol-ish">
Options +FollowSymLinks
AllowOverride all
Require all granted
</Directory>
ErrorLog "/var/log/apache2/error.ima2a5-mol-ish.log"
TransferLog "/var/log/apache2/error.ima2a5-mol-ish.transf.log"
# Activation du SSL
SSLEngine On
# Activation de tous les protocoles sécurisés (TLS v1.0, v1.1 et TLS v1.2) touut en désactivant les protocoles non sécurisés (SSL v2, SSL v3)
SSLProtocol All -SSLv3 -SSLv2
# Le navigateur devra choisir une méthode de chiffrement en respectant l'ordre indiquée dans SSLCipherSuite
SSLHonorCipherOrder on
# Chemin vers le certificat SSL de votre nom de domaine
SSLCertificateFile "/etc/apache2/certificates/ima2a5-mol-ish.csr"
# Chemin vers la cle privée du certificat SSL de votre nom de domaine
SSLCertificateKeyFile "/etc/apache2/certificates/ima2a5-mol-ish.key"
</VirtualHost>

Maintenante on peut relancer le serveur avec:

a2dissite ima2a5-mol-ish.site
a2ensite ima2a5-mol-ish.site
service apache2 restart

Puis on vérifie la configuration appliqueé avec

root@ima2a5-mol-ish:/etc/apache2# apache2ctl -S
VirtualHost configuration:
*:80 is a NameVirtualHost
default server ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/000-default.conf:1)
port 80 namevhost ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:1)
alias www.ima2a5-mol-ish.site
*:443 ima2a5-mol-ish.site (/etc/apache2/sites-enabled/ima2a5-mol-ish.site.conf:15)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www/html"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-stapling: using_defaults
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/run/apache2/" mechanism=default
Mutex watchdog-callback: using_defaults
Mutex ssl-stapling-refresh: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33

==Architecture réseau==

===L'architecture générale===

===Les réseaux virutels===

===Le routage de site (IPv4)===

===Le routage de site (IPv6)===

===Interconnexion avec Internet (IPv4)===

===Interconnexion avec Internet (IPV6)===

===Sécurisation du réseau===

==Test d'intrusion==

===Intrusion par changement d'adresse MAC===

===Cassage de clef WEP d'un point d'accès Wifi===

'''Configuration de la carte réseau'''

Dans cette partie, il est question de cracker une clé WEP depuis l'ordinateur mis à disposition (Silure).

On commence par établir une connexion internet via une liaison filaire ainsi que la configuration de la clé Wifi.

-Se placer en super-administrateur et visualiser la liste des interfaces

su
ip l

On trouve ainsi trois interfaces : lo, wlx40a5ef01370a (clé wifi) et enp4s0 (eth0)

-Modifier le fichier de configuration réseau

nano /etc/network/interfaces

-Modifier le fichier avec les lignes suivantes :

#Interface réseau filaire
auto enp4s0
iface enp4s0 inet static
address 172.26.145.105
netmask 255.255.255.0
gateway 172.145.255.254

#Interface Wifi
auto wlx40a5ef01370a
iface wlx40a5ef01370a inet dhcp

-Modifier le proxy avec celui de l'école :
export http_proxy=http://proxy.polytech-lille.fr:3128

-Eteindre et rallumer l'interface enp4s0 :

ifdown enp4s0 //Eteindre l'interface
ifup enp4s0 //Allumer l'interface

- Vérifier la bonne mise à jour des interfaces

ip a

ainsi que le miroir est bien celui de la licence linux, ici debian

deb http://debian.polytech-lille.fr/debian/ buster main contrib none-free
deb-src http://debian.polytech-lille.fr/debian buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/updates main contrib non-free

- Effectuer la mise à jour et installer le paquetage aircrack

apt update
apt-get install aircrack-ng

-Démarrer le logiciel aircrack en précisant l'interface :

airmon-ng start wlx40a5ef01370a

[[Fichier:IMA2A5 AIRODUMP.png|700px|center]]

A partir de là, la carte Wifi passe en mode moniteur et prend l'intitulé wlan0mon.

'''Scanner le réseau wifi'''

A patir de là, nous pouvons scanner le réseau Wifi environnant avec airodump

airodump-ng --encrypt wep wlan0mon

[[Fichier:IMA2A5 AIRODUMP VIEW.png|700px|center]]

On visualise les raspberry disponibles avec les informations suivantes :

* Le BSSID du réseau en hexadécimal
* La force du signal avec PWR
* Le channel avec CH
* Le type d'encryptage avec ENC
* Le nom du réseau avec ESSID

On choisit de cracker la cracotte09 en stockant les données générées dans le dossier WEP

mkdir WEP
airodump-ng -w cracotte -c 8 --bssid 04:DA:D2:9C:50:58 wlan0mon

On obtient l'écran suivant indiquant le nombre de données collectées (#Data)

[[Fichier:IMA2A5 PACKET.png|700px|center]]

En parallèle de ça, on peut la phase de décryptage avec l'utilitaire aircrack-ng

[[Fichier:Aircrack-ng.png|700px|center]]

aircrack-ng cracotte*.cap

Une fois le nombre d'IVs suffisant atteint, on obtient la clé WEP. Pour cracotte02, on a '''BA:BE:EE:EE:EE:EE:EE:EE:EE:EE:EE:44'''

===Cassage de mot de passe WPA-PSK par force brute===

Dans cette partie, il s'agit de casser le mot de passe d'un réseau Wifi sécurisé en WPA-PSK.
On utilisera le même utilitaire '''aircrack-ng''' à la différence qu'il s'agira non plus de récuprérer des IVs mais un '''handshake'''.

Pour se faire, on commence par sonder le réseau en filtrant uniquement le protocole WPA

airodump-ng --encrypt wpa wlan0mon

[[Fichier:IMA2A5-WPA-airodump.png|700px|center]]

On obtient la liste suivante.

Il faut ensuite générer un dictionnaire comportant l'ensemble des combinaisons possibles de la clé WPA.

crunch 8 8 0123456789 >> Dico.txt

'''Point particulier''' : Lors de la génération du dictionnaire, j'ai oublié d'inclure le chiffre 0 ce qui a allégé de 60% le fichier originel (900Mb pour les 10 chiifres contre 300Mb pour les 9 chiffres). Ce que je ne savais pas à ce moment là, c'est que la clé à trouver ne comporte pas de zéro. Cela a permis de passer de 3h de temps de calcul à 1 min et 18 secondes.

aircrack-ng psk-01.cap -w Dico.txt

On a pour résultat est le suivant :

[[Fichier:IMA2A5-WPA-key.png|700px|center]]

La clé sur la kracotte02 est '''12228888'''

==Réalisations==

===Sécurisation de données===

===Cryptage de données===

Dans cette partie, il est question de crypter des données contenues dans une clé USB
On installe d'abord les paquetages lvm2 et cryptsetup.

apt-get install lvm2 cryptsetup

Ensuite on recherche le périphérique et ses partitions (si existantes) avec la commande

lsblk

On utilise ensuite l'utilitaire ''fdisk'' sur le périphérique souhaité, ici '''/dev/sda'''

fdsik /dev/sda

A partir de là, on peut réaliser un certain nombre d'opération qui sont les suivantes :

Command (m for help): m

Help:

DOS (MBR)
a toggle a bootable flag
b edit nested BSD disklabel
c toggle the dos compatibility flag

Generic
d delete a partition
l list known partition types
n add a new partition
p print the partition table
t change a partition type
v verify the partition table

Misc
m print this menu
u change display/entry units
x extra functionality (experts only)

Save & Exit
w write table to disk and exit
q quit without saving changes

Create a new label
g create a new empty GPT partition table
G create a new empty SGI (IRIX) partition table
o create a new empty DOS partition table
s create a new empty Sun partition table

On s'assure de l'état des partitions avec la commande '''p'''

On supprime les partions avec la commande '''d'''

Puis on quitte et on sauvegarde les modification avec '''w'''

On créé une nouvelle partition avec le même utilitaire.

Command (m for help) : '''n'''
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): '''p'''

Partition number (1-4, default 1): '''1'''

On part sur une unique partition comme demandée dans le cahier des charges
On prendra toutes les ressources physiques de la clé à savoir de 2048 à 15109515

First sector (2048-15109515, default 2048): '''2048'''

Last sector, +sectors or +size{K,M,G,T,P} (2048-15109515): '''15109515'''

Created a new partition 1 of type 'Linux' and of size 7.2 GiB

On sauvegarde pour finir.

On va maintenant chiffrer

===<s>Sécurisation Wifi par clé WEP</s>===

===<s>Sécurisation Wifi par WPA-PSK</s>===

===<s>Sécurisation réseau filaire par EAP-TLS</s>===

===Sécurisation Wifi par WPA2-EAP===

===<s>Universal Plug and Play Audio and Video</s>===

===<s>Configuration d'un PCBX</s>===

TP sysres IMA2a5 2019/2020 G2

2019-11-28T09:42:10Z

Lmollet : /* Cryptage de données */

TP sysres IMA2a5 2019/2020 G2

2019-11-28T09:39:42Z

Lmollet : /* Cryptage de données */

TP sysres IMA2a5 2019/2020 G2

2019-11-28T09:35:15Z

Lmollet : /* Cryptage de données */

TP sysres IMA2a5 2019/2020 G2

2019-11-28T09:25:51Z

Lmollet : /* Cryptage de données */

TP sysres IMA2a5 2019/2020 G2

2019-11-28T09:21:00Z

Lmollet : /* Réalisations */

TP sysres IMA2a5 2019/2020 G2

2019-11-28T09:20:15Z

Lmollet : /* Réalisations */

TP sysres IMA2a5 2019/2020 G2

2019-11-28T09:20:00Z

Lmollet : /* Réalisations */

TP sysres IMA2a5 2019/2020 G2

2019-11-28T08:56:22Z

Lmollet : /* Cassage de mot de passe WPA-PSK par force brute */

TP sysres IMA2a5 2019/2020 G2

2019-11-28T08:26:27Z

Lmollet : /* Cassage de mot de passe WPA-PSK par force brute */

TP sysres IMA2a5 2019/2020 G2

2019-11-28T08:25:35Z

Lmollet : /* Cryptage de données */

TP sysres IMA2a5 2019/2020 G2

2019-11-28T07:47:39Z

Lmollet : /* =Sécurisation de données */

TP sysres IMA2a5 2019/2020 G2

2019-11-28T07:47:26Z

Lmollet :

TP sysres IMA2a5 2019/2020 G2

2019-11-24T16:32:43Z

Lmollet : /* Installation d'une machien virtuelle Xen */

TP sysres IMA2a5 2019/2020 G2

2019-11-24T16:29:56Z

Lmollet : /* Installation d'une machien virtuelle Xen */

TP sysres IMA2a5 2019/2020 G2

2019-11-24T16:09:27Z

Lmollet : /* Installation d'une machien virtuelle Xen */

TP sysres IMA2a5 2019/2020 G2

2019-11-24T16:01:40Z

Lmollet : /* Installation d'une machien virtuelle Xen */

TP sysres IMA2a5 2019/2020 G2

2019-11-24T15:47:00Z

Lmollet : /* Installation d'une machien virtuelle Xen */

TP sysres IMA2a5 2019/2020 G2

2019-11-24T15:44:38Z

Lmollet : /* Installation d'une machien virtuelle Xen */

TP système & reseau IMA2a5 2019/2020

2019-11-22T16:02:37Z

Lmollet : /* Répartition des binômes */

== Introduction ==

Bienvenue sur l'article wikipédia de la promotion 2017 - 2020 de la section IMA2A5. Cette page traite du sujet de protocole avancé vu en semestre 9.
Le lien vers le sujet est : [https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html]

== Répartition des binômes ==

{| class="wikitable"
! Page du groupe !! Prénom & NOM !! Nom de domaine acheté !! Certificat associé ?
|-
| [[ TP sysres IMA2a5 2019/2020 G1 | Cahier groupe n°1]]
| Fabien CAVALIER & Maxime HIRT
|[https://ima2a5-zerofun.site https://ima2a5-zerofun.site ]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G2 | Cahier groupe n°2]]
| Ekaterina ISHCHUK & Loick MOLLET
| [https://ima2a5-mol-ish.site https://ima2a5-mol-ish.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G3 | Cahier groupe n°3]]
| Quentin WEISBECKER & Pascal COINT
|[https://ima2a5-rex4ever.site https://ima2a5-rex4ever.site]
|[https://wiki-ima.plil.fr/mediawiki//index.php/TP_sysres_IMA2a5_2019/2020_G3#Configuration_du_Certificat.2FSecurisation_du_site_internet_sous_HTTPS voir ici]
|-
| [[ TP sysres IMA2a5 2019/2020 G4 | Cahier groupe n°4]]
| Malick SECK & Gael WATBLED
|[https://ima2a5-wateck.site https://ima2a5-wateck.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G5 | Cahier groupe n°5]]
| Quentin Verne& Adrien MONFILLIETTE
|[https://ima2a5-nofun.site https://ima2a5-nofun.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G6 | Cahier groupe n°6]]
| Hamza FAHIM & Jorge CABRAL-DAS-DORES
| [https://ima2a5-4fun.site https://ima2a5-4fun.site]
|
|-
|}

== Table IP VLANs ==

{| class="wikitable" style="text-align:center"
! Nom !! Vlan !! Réseau IPV4 (Routé) !! Réseau IPV6 !! IP Routeur 1 !! IP Routeur 2 !! IP Routeur Virtuel !! IPv4 VLAN Wi-Fi (non routé)
|-
|Xen
|42
|193.48.57.160/28
| ****
|193.48.57.174
|193.48.57.173
|193.48.57.172
| ****
|-
|Groupe 1
|2
| ****
|2001.660.4401.60B1::/64
|10.60.1.254
|10.60.1.253
|10.60.1.252
|10.60.1.0/16
|-
|Groupe 2
|3
| ****
|2001.660.4401.60B2::/64
|10.60.2.254
|10.60.2.253
|10.60.2.252
|10.60.2.0/16
|-
|Groupe 3
|4
| ****
|2001.660.4401.60B3::/64
|10.60.3.254
|10.60.3.253
|10.60.3.252
|10.60.3.0/16
|-
|Groupe 4
|5
| ****
|2001.660.4401.60B4::/64
|10.60.4.254
|10.60.4.253
|10.60.4.252
|10.60.4.0/16
|-
|Groupe 5
|6
| ****
|2001.660.4401.60B5::/64
|10.60.5.254
|10.60.5.253
|10.60.5.252
|10.60.5.0/16
|-
|Groupe 6
|7
| ****
|2001.660.4401.60B6::/64
|10.60.6.254
|10.60.6.253
|10.60.6.252
|10.60.6.0/16
|-
|}

== Architecture matérielle ==

[[Fichier:Archi_IMA2A5.jpg|500px|center|thumb|© Copyright Minou]]

== Machines virtuelles ==

{| class="wikitable"
!Groupe !! Nom de la VM !! IP de la VM
|-
|Groupe 1
|ima2a5-zerofun
|193.48.57.161/28
|-
|Groupe 2
|ima2a5-mol-ish
|193.48.57.162/28
|-
|Groupe 3
|ima2a5-rex4ever
|193.48.57.163/28
|-
|Groupe 4
|ima2a5-wateck
|193.48.57.164/28
|-
|Groupe 5
|ima2a5-nofun
|193.48.57.165/28
|-
|Groupe 6
|ima2a5-4fun
|193.48.57.166/28
|-
|}

== Architecture Réseau ==

Dans cette partie, vous trouverez comment nous avons configuré les routeurs ainsi que les commutateurs qui se trouve dans les salles E304 et E306.

=== Configuration des 2 commutateurs ===

===== Connexion =====

Pour accéder au commutateur, nous avons utilisé minicom avec un cable série directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le '''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Voici quelque commandes de base qui nous ont servi pour la configuration des commutateurs

enable // passage en admin pour pouvoir accéder aux données du commutateur

write // Sauvegarde de la configuration et l’implanter dans le commutateur

show interface status OU sh int status // Montre l'état de toutes les interfaces présentes sur le commutateur ainsi que les données associées

configuration terminal // permets d'accéder aux interfaces et ainsi pouvoir les modifier

exit // permets de sortir du configurateur actuel (par exemple sortir de l'interface)

==== Configuration des ports du commutateur =====

Nous avons 4 connexions qui sont dirigées vers le commutateur de la salle E304 ainsi que celui en E306
- Un lien vers le routeur
- Un lien vers la borne wifi
- Un lien vers Corduan
- Un lien vers l'autre commutateur

{| class="wikitable" style="text-align: center;width: 85%;margin: auto;"
! Connexion !! E304 !! E306
|-
! scope="row" style="width: 20%"|Corduan
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Borne Wifi
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Commutateur
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Router
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
|}
}

===== Création du lien pour la borne wifi =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport //Rendre accessible la modification du port
switchport trunk encapsulation dot1q //Encapsule avec la trame le numéro du Vlan associé, ce qui permettra de d'avoir de quel équipement viens le paquet ainsi la réponse sera dirigé vers le bon port
switchport mode trunk //Configure le port du switch en mode trunk, ce qui permets de ne pas avoir de restriction sur les Vlan, tous les Vlan peuvent passer à travers ce port
no shut //Démarre le port ou de le garder actif
exit
exit
write

===== Création du lien pour Corduan =====

enable
configure terminal
interface XXXX
switchport
switchport mode access //Rendre modifiable le port
switchport access vlan42 //Autoriser le vlan 42 à transister à travers ce port
no shutdown
exit
exit
write

===== Création du lien pour le router =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création du lien pour l'autre commutateur =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création des Vlan =====

enable
conf t
vlan 42
name Corduan
exit
exit
write

enable
conf t
vlan 2 à 7
name groupe 1 à 6
exit
exit
write

enable
conf t
vlan 130
name interconnexion
exit
exit
write

Pour supprimer un vlan il suffit de faire :
no vlan X

=== Configuration du router E304 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyACM0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexion

enable

configure terminal

interface XXXX
no ip address //Pas d'addresse IP associé
negotiation auto //Détermine automatiquement la vitesse de transfert
media-type RJ45 //Type de connexion (ici RJ45)

Voici les vlan associé à nos groupes :

service instance 2 ethernet // création d'un vlan 2 dans cette interface
encapsulation dot1q 2 // Permets d'assurer une continuité d'un VLAN issue d'un switch sur un routeur via un lien trunk
rewrite ingress tag pop 1 symmetric // retire le tag du vlan
bridge-domain 2 //création d'un bridge domaine interface (BDI) attribué au chiffre 2

service instance 3 ethernet
encapsulation dot1q 3
rewrite ingress tag pop 1 symmetric
bridge-domain 3

service instance 4 ethernet
encapsulation dot1q 4
rewrite ingress tag pop 1 symmetric
bridge-domain 4

service instance 5 ethernet
encapsulation dot1q 5
rewrite ingress tag pop 1 symmetric
bridge-domain 5

service instance 6 ethernet
encapsulation dot1q 6
rewrite ingress tag pop 1 symmetric
bridge-domain 6

service instance 7 ethernet
encapsulation dot1q 7
rewrite ingress tag pop 1 symmetric
bridge-domain 7

Voici le vlan associé à l'interconnexion :

service instance 42 ethernet
encapsulation dot1q 42
rewrite ingress tag pop 1 symmetric
bridge-domain 42

====== Vers le SR 32 ======
interface XXXX
no ip address
negotiation auto
service instance 130 ethernet
encapsulation dot1q 130
bridge-domain 130

===== Configuration des BDI =====

conf t
interface BDI2
ip address 10.60.1.254 255.255.255.000 //Attribut l'addresse IPV4 pour le routeur ainsi que son mask
standby version 2 //Activation du HSRP (Host service Routing protocole) version 2 plus stable que la 1
standby 3 ip 10.60.1.252 //Donne l'addresse IPV4 du routeur virtuelle pour le HSRP
standby 3 preempt // Activation du HSRP
ipv6 address 2001:660:4401:60B3::/64 eui-64 //Attribut l'addresse IPV6
ipv6 enable //Active l'addressage IPV6
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900 //Donner un préfixe IPV6 à chaque machine
ipv6 nd router-preference high //IPV6 sera la route de préférence par défaut avec une forte probabilitée
exit

interface BDI3
ip address 10.60.2.254 255.255.255.000
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI4
ip address 10.60.3.254 255.255.255.000
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI5
ip address 10.60.4.254 255.255.255.000
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI6
ip address 10.60.5.254 255.255.255.000
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI7
ip address 10.60.6.254 255.255.255.000
standby version 2
standby 6 ip 10.60.6.252
standby 6 preempt
ipv6 address 2001:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI42
ip address 193.48.57.173 255.255.255.240
standby version 2
standby 7 ip 193.48.57.172
standby 7 preempt
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
exit

exit
write

==== Interconnexion du réseau IPV4 ====

Se le faire expliquer parce que rien compris

configure terminal
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.0.1 //Doute voir avec Redon !
log-adjacency-changes
summary address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

==== Sécurisation du réseau ====

Question pour Redon addresse Ip à définir

conf t
int XXXX
ip address 10.10.10.2 255.255.255.0
vrrp 1 ip 10.10.10.3
vrrp 1 preempt //Activation de la préemption, si jamais le routeur tombe en panne, l'autre prend sa place
vrrp 1 priority 100 //Dans le vvrp n°1 on définit la priorité à 100, plus la priorité est élevé plus il sera sollicité
exit
exit
write

=== Configuration du router E306 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexio

*******************************************************************************

*******************************************************************************

==== Interconnexion du réseau IPV4 ====

Se le faire expliquer parce que rien compris

configure terminal
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.0.1 //Doute voir avec Redon !
log-adjacency-changes
summary address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

TP système & reseau IMA2a5 2019/2020

2019-11-22T16:02:13Z

Lmollet : /* Répartition des binômes */

== Introduction ==

Bienvenue sur l'article wikipédia de la promotion 2017 - 2020 de la section IMA2A5. Cette page traite du sujet de protocole avancé vu en semestre 9.
Le lien vers le sujet est : [https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html https://rex.plil.fr/Enseignement/Reseau/Protocoles.IMA5sc/reseau.html]

== Répartition des binômes ==

{| class="wikitable"
! Page du groupe !! Prénom & NOM !! Nom de domaine acheté !! Certificat associé ?
|-
| [[ TP sysres IMA2a5 2019/2020 G1 | Cahier groupe n°1]]
| Fabien CAVALIER & Maxime HIRT
|[https://ima2a5-zerofun.site https://ima2a5-zerofun.site ]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G2 | Cahier groupe n°2]]
| Ekaterina ISHCHUK & Loick MOLLET
| [https://ima2a5-mol-ish.site https://ima2a5-mol-ish.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G3 | Cahier groupe n°3]]
| Quentin WEISBECKER & Pascal COINT
|[www.ima2a5-rex4ever.site www.ima2a5-rex4ever.site]
|[https://wiki-ima.plil.fr/mediawiki//index.php/TP_sysres_IMA2a5_2019/2020_G3#Configuration_du_Certificat.2FSecurisation_du_site_internet_sous_HTTPS voir ici]
|-
| [[ TP sysres IMA2a5 2019/2020 G4 | Cahier groupe n°4]]
| Malick SECK & Gael WATBLED
|[https://ima2a5-wateck.site https://ima2a5-wateck.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G5 | Cahier groupe n°5]]
| Quentin Verne& Adrien MONFILLIETTE
|[https://ima2a5-nofun.site https://ima2a5-nofun.site]
|
|-
| [[ TP sysres IMA2a5 2019/2020 G6 | Cahier groupe n°6]]
| Hamza FAHIM & Jorge CABRAL-DAS-DORES
| [https://ima2a5-4fun.site https://ima2a5-4fun.site]
|
|-
|}

== Table IP VLANs ==

{| class="wikitable" style="text-align:center"
! Nom !! Vlan !! Réseau IPV4 (Routé) !! Réseau IPV6 !! IP Routeur 1 !! IP Routeur 2 !! IP Routeur Virtuel !! IPv4 VLAN Wi-Fi (non routé)
|-
|Xen
|42
|193.48.57.160/28
| ****
|193.48.57.174
|193.48.57.173
|193.48.57.172
| ****
|-
|Groupe 1
|2
| ****
|2001.660.4401.60B1::/64
|10.60.1.254
|10.60.1.253
|10.60.1.252
|10.60.1.0/16
|-
|Groupe 2
|3
| ****
|2001.660.4401.60B2::/64
|10.60.2.254
|10.60.2.253
|10.60.2.252
|10.60.2.0/16
|-
|Groupe 3
|4
| ****
|2001.660.4401.60B3::/64
|10.60.3.254
|10.60.3.253
|10.60.3.252
|10.60.3.0/16
|-
|Groupe 4
|5
| ****
|2001.660.4401.60B4::/64
|10.60.4.254
|10.60.4.253
|10.60.4.252
|10.60.4.0/16
|-
|Groupe 5
|6
| ****
|2001.660.4401.60B5::/64
|10.60.5.254
|10.60.5.253
|10.60.5.252
|10.60.5.0/16
|-
|Groupe 6
|7
| ****
|2001.660.4401.60B6::/64
|10.60.6.254
|10.60.6.253
|10.60.6.252
|10.60.6.0/16
|-
|}

== Architecture matérielle ==

[[Fichier:Archi_IMA2A5.jpg|500px|center|thumb|© Copyright Minou]]

== Machines virtuelles ==

{| class="wikitable"
!Groupe !! Nom de la VM !! IP de la VM
|-
|Groupe 1
|ima2a5-zerofun
|193.48.57.161/28
|-
|Groupe 2
|ima2a5-mol-ish
|193.48.57.162/28
|-
|Groupe 3
|ima2a5-rex4ever
|193.48.57.163/28
|-
|Groupe 4
|ima2a5-wateck
|193.48.57.164/28
|-
|Groupe 5
|ima2a5-nofun
|193.48.57.165/28
|-
|Groupe 6
|ima2a5-4fun
|193.48.57.166/28
|-
|}

== Architecture Réseau ==

Dans cette partie, vous trouverez comment nous avons configuré les routeurs ainsi que les commutateurs qui se trouve dans les salles E304 et E306.

=== Configuration des 2 commutateurs ===

===== Connexion =====

Pour accéder au commutateur, nous avons utilisé minicom avec un cable série directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le '''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Voici quelque commandes de base qui nous ont servi pour la configuration des commutateurs

enable // passage en admin pour pouvoir accéder aux données du commutateur

write // Sauvegarde de la configuration et l’implanter dans le commutateur

show interface status OU sh int status // Montre l'état de toutes les interfaces présentes sur le commutateur ainsi que les données associées

configuration terminal // permets d'accéder aux interfaces et ainsi pouvoir les modifier

exit // permets de sortir du configurateur actuel (par exemple sortir de l'interface)

==== Configuration des ports du commutateur =====

Nous avons 4 connexions qui sont dirigées vers le commutateur de la salle E304 ainsi que celui en E306
- Un lien vers le routeur
- Un lien vers la borne wifi
- Un lien vers Corduan
- Un lien vers l'autre commutateur

{| class="wikitable" style="text-align: center;width: 85%;margin: auto;"
! Connexion !! E304 !! E306
|-
! scope="row" style="width: 20%"|Corduan
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Borne Wifi
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Commutateur
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
! scope="row" style="width: 20%"|Router
|style="width: 40%"| A remplir !
|style="width: 40%"| A remplir !
|-
|}
}

===== Création du lien pour la borne wifi =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport //Rendre accessible la modification du port
switchport trunk encapsulation dot1q //Encapsule avec la trame le numéro du Vlan associé, ce qui permettra de d'avoir de quel équipement viens le paquet ainsi la réponse sera dirigé vers le bon port
switchport mode trunk //Configure le port du switch en mode trunk, ce qui permets de ne pas avoir de restriction sur les Vlan, tous les Vlan peuvent passer à travers ce port
no shut //Démarre le port ou de le garder actif
exit
exit
write

===== Création du lien pour Corduan =====

enable
configure terminal
interface XXXX
switchport
switchport mode access //Rendre modifiable le port
switchport access vlan42 //Autoriser le vlan 42 à transister à travers ce port
no shutdown
exit
exit
write

===== Création du lien pour le router =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création du lien pour l'autre commutateur =====

enable
configure terminal (ou conf t)
interface XXXX (ou int XXXX)
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
no shut
exit
exit
write

===== Création des Vlan =====

enable
conf t
vlan 42
name Corduan
exit
exit
write

enable
conf t
vlan 2 à 7
name groupe 1 à 6
exit
exit
write

enable
conf t
vlan 130
name interconnexion
exit
exit
write

Pour supprimer un vlan il suffit de faire :
no vlan X

=== Configuration du router E304 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyACM0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexion

enable

configure terminal

interface XXXX
no ip address //Pas d'addresse IP associé
negotiation auto //Détermine automatiquement la vitesse de transfert
media-type RJ45 //Type de connexion (ici RJ45)

Voici les vlan associé à nos groupes :

service instance 2 ethernet // création d'un vlan 2 dans cette interface
encapsulation dot1q 2 // Permets d'assurer une continuité d'un VLAN issue d'un switch sur un routeur via un lien trunk
rewrite ingress tag pop 1 symmetric // retire le tag du vlan
bridge-domain 2 //création d'un bridge domaine interface (BDI) attribué au chiffre 2

service instance 3 ethernet
encapsulation dot1q 3
rewrite ingress tag pop 1 symmetric
bridge-domain 3

service instance 4 ethernet
encapsulation dot1q 4
rewrite ingress tag pop 1 symmetric
bridge-domain 4

service instance 5 ethernet
encapsulation dot1q 5
rewrite ingress tag pop 1 symmetric
bridge-domain 5

service instance 6 ethernet
encapsulation dot1q 6
rewrite ingress tag pop 1 symmetric
bridge-domain 6

service instance 7 ethernet
encapsulation dot1q 7
rewrite ingress tag pop 1 symmetric
bridge-domain 7

Voici le vlan associé à l'interconnexion :

service instance 42 ethernet
encapsulation dot1q 42
rewrite ingress tag pop 1 symmetric
bridge-domain 42

====== Vers le SR 32 ======
interface XXXX
no ip address
negotiation auto
service instance 130 ethernet
encapsulation dot1q 130
bridge-domain 130

===== Configuration des BDI =====

conf t
interface BDI2
ip address 10.60.1.254 255.255.255.000 //Attribut l'addresse IPV4 pour le routeur ainsi que son mask
standby version 2 //Activation du HSRP (Host service Routing protocole) version 2 plus stable que la 1
standby 3 ip 10.60.1.252 //Donne l'addresse IPV4 du routeur virtuelle pour le HSRP
standby 3 preempt // Activation du HSRP
ipv6 address 2001:660:4401:60B3::/64 eui-64 //Attribut l'addresse IPV6
ipv6 enable //Active l'addressage IPV6
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900 //Donner un préfixe IPV6 à chaque machine
ipv6 nd router-preference high //IPV6 sera la route de préférence par défaut avec une forte probabilitée
exit

interface BDI3
ip address 10.60.2.254 255.255.255.000
standby version 2
standby 3 ip 10.60.2.252
standby 3 preempt
ipv6 address 2001:660:4401:60B3::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B3::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI4
ip address 10.60.3.254 255.255.255.000
standby version 2
standby 4 ip 10.60.3.252
standby 4 preempt
ipv6 address 2001:660:4401:60B4::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B4::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI5
ip address 10.60.4.254 255.255.255.000
standby version 2
standby 5 ip 10.60.4.252
standby 5 preempt
ipv6 address 2001:660:4401:60B5::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B5::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI6
ip address 10.60.5.254 255.255.255.000
standby version 2
standby 6 ip 10.60.5.252
standby 6 preempt
ipv6 address 2001:660:4401:60B6::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B6::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI7
ip address 10.60.6.254 255.255.255.000
standby version 2
standby 6 ip 10.60.6.252
standby 6 preempt
ipv6 address 2001:660:4401:60B7::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B7::/64 1000 900
ipv6 nd router-preference High
exit

interface BDI42
ip address 193.48.57.173 255.255.255.240
standby version 2
standby 7 ip 193.48.57.172
standby 7 preempt
ipv6 address 2001:660:4401:60B1::/64 eui-64
ipv6 enable
ipv6 nd prefix 2001:660:4401:60B1::/64 1000 900
ipv6 nd router-preference High
exit

exit
write

==== Interconnexion du réseau IPV4 ====

Se le faire expliquer parce que rien compris

configure terminal
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.0.1 //Doute voir avec Redon !
log-adjacency-changes
summary address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write

==== Sécurisation du réseau ====

Question pour Redon addresse Ip à définir

conf t
int XXXX
ip address 10.10.10.2 255.255.255.0
vrrp 1 ip 10.10.10.3
vrrp 1 preempt //Activation de la préemption, si jamais le routeur tombe en panne, l'autre prend sa place
vrrp 1 priority 100 //Dans le vvrp n°1 on définit la priorité à 100, plus la priorité est élevé plus il sera sollicité
exit
exit
write

=== Configuration du router E306 ===

===== Connexion =====

Pour accéder au routeur, nous avons utilisé minicom avec un USB directement branché sur la prise console du commutateur :

minicom -os ( avec '''ttyUSB0''', une vitesse de transfert de '''9600 bauds''' et le ''''flow control désactivé''') // les paramètres sont modifiable directement depuis les options de minicom

===== Commande de base =====

Ce sont exactement les mêmes que celles utilisées pour les commutateurs

==== Configuration des ports ====

====== Vers les commutateurs ======

La configuration est la même pour les 2 ports correspondant aux commutateurs
Nous avons besoin de 6 Vlan pour nos groupes et d'un Vlan d'interconnexio

*******************************************************************************

*******************************************************************************

==== Interconnexion du réseau IPV4 ====

Se le faire expliquer parce que rien compris

configure terminal
router ospf 1 //création d'un opsf (Open Shortest Path First)
router-id 10.60.0.1 //Doute voir avec Redon !
log-adjacency-changes
summary address 193.48.57.160 255.255.255.240 //donne l'addresse IP la plus base du réseau routé
summary-address 10.60.0.1 255.255.0.0 not-advertise //donne l'addresse Ip la plus base du réseau non routé/ privé
redistribute connected subnets
network 192.168.222.8 0.0.0.7 area 1
exit
exit
write

==== Interconnexion du réseau IPV6 ====

conf t
ipv6 router rip tpima2a5 //Création d'une route IPV6 sous le nom tpima2a5
redistribute connected metric 1
redistribute rip 1 metric 1
redistribute static metric 1
exit
exit
write